<!DOCTYPE html>
<!-- saved from url=(0058)file:///Users/chenzhihan/Documents/Code/node/test/res.html -->
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <title>res</title>
      
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      
      <link rel="stylesheet" href="./index_files/katex.min.css">
      
      
      
      
      
      
      
      
      
      <style>
      /**
 * prism.js Github theme based on GitHub's theme.
 * @author Sam Clarke
 */
code[class*="language-"],
pre[class*="language-"] {
  color: #333;
  background: none;
  font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace;
  text-align: left;
  white-space: pre;
  word-spacing: normal;
  word-break: normal;
  word-wrap: normal;
  line-height: 1.4;

  -moz-tab-size: 8;
  -o-tab-size: 8;
  tab-size: 8;

  -webkit-hyphens: none;
  -moz-hyphens: none;
  -ms-hyphens: none;
  hyphens: none;
}

/* Code blocks */
pre[class*="language-"] {
  padding: .8em;
  overflow: auto;
  /* border: 1px solid #ddd; */
  border-radius: 3px;
  /* background: #fff; */
  background: #f5f5f5;
}

/* Inline code */
:not(pre) > code[class*="language-"] {
  padding: .1em;
  border-radius: .3em;
  white-space: normal;
  background: #f5f5f5;
}

.token.comment,
.token.blockquote {
  color: #969896;
}

.token.cdata {
  color: #183691;
}

.token.doctype,
.token.punctuation,
.token.variable,
.token.macro.property {
  color: #333;
}

.token.operator,
.token.important,
.token.keyword,
.token.rule,
.token.builtin {
  color: #a71d5d;
}

.token.string,
.token.url,
.token.regex,
.token.attr-value {
  color: #183691;
}

.token.property,
.token.number,
.token.boolean,
.token.entity,
.token.atrule,
.token.constant,
.token.symbol,
.token.command,
.token.code {
  color: #0086b3;
}

.token.tag,
.token.selector,
.token.prolog {
  color: #63a35c;
}

.token.function,
.token.namespace,
.token.pseudo-element,
.token.class,
.token.class-name,
.token.pseudo-class,
.token.id,
.token.url-reference .token.variable,
.token.attr-name {
  color: #795da3;
}

.token.entity {
  cursor: help;
}

.token.title,
.token.title .token.punctuation {
  font-weight: bold;
  color: #1d3e81;
}

.token.list {
  color: #ed6a43;
}

.token.inserted {
  background-color: #eaffea;
  color: #55a532;
}

.token.deleted {
  background-color: #ffecec;
  color: #bd2c00;
}

.token.bold {
  font-weight: bold;
}

.token.italic {
  font-style: italic;
}


/* JSON */
.language-json .token.property {
  color: #183691;
}

.language-markup .token.tag .token.punctuation {
  color: #333;
}

/* CSS */
code.language-css,
.language-css .token.function {
  color: #0086b3;
}

/* YAML */
.language-yaml .token.atrule {
  color: #63a35c;
}

code.language-yaml {
  color: #183691;
}

/* Ruby */
.language-ruby .token.function {
  color: #333;
}

/* Markdown */
.language-markdown .token.url {
  color: #795da3;
}

/* Makefile */
.language-makefile .token.symbol {
  color: #795da3;
}

.language-makefile .token.variable {
  color: #183691;
}

.language-makefile .token.builtin {
  color: #0086b3;
}

/* Bash */
.language-bash .token.keyword {
  color: #0086b3;
}

/* highlight */
pre[data-line] {
  position: relative;
  padding: 1em 0 1em 3em;
}
pre[data-line] .line-highlight-wrapper {
  position: absolute;
  top: 0;
  left: 0;
  background-color: transparent;
  display: block;
  width: 100%;
}

pre[data-line] .line-highlight {
  position: absolute;
  left: 0;
  right: 0;
  padding: inherit 0;
  margin-top: 1em;
  background: hsla(24, 20%, 50%,.08);
  background: linear-gradient(to right, hsla(24, 20%, 50%,.1) 70%, hsla(24, 20%, 50%,0));
  pointer-events: none;
  line-height: inherit;
  white-space: pre;
}

pre[data-line] .line-highlight:before, 
pre[data-line] .line-highlight[data-end]:after {
  content: attr(data-start);
  position: absolute;
  top: .4em;
  left: .6em;
  min-width: 1em;
  padding: 0 .5em;
  background-color: hsla(24, 20%, 50%,.4);
  color: hsl(24, 20%, 95%);
  font: bold 65%/1.5 sans-serif;
  text-align: center;
  vertical-align: .3em;
  border-radius: 999px;
  text-shadow: none;
  box-shadow: 0 1px white;
}

pre[data-line] .line-highlight[data-end]:after {
  content: attr(data-end);
  top: auto;
  bottom: .4em;
}html body{font-family:"Helvetica Neue",Helvetica,"Segoe UI",Arial,freesans,sans-serif;font-size:16px;line-height:1.6;color:#333;background-color:#fff;overflow:initial;box-sizing:border-box;word-wrap:break-word}html body>:first-child{margin-top:0}html body h1,html body h2,html body h3,html body h4,html body h5,html body h6{line-height:1.2;margin-top:1em;margin-bottom:16px;color:#000}html body h1{font-size:2.25em;font-weight:300;padding-bottom:.3em}html body h2{font-size:1.75em;font-weight:400;padding-bottom:.3em}html body h3{font-size:1.5em;font-weight:500}html body h4{font-size:1.25em;font-weight:600}html body h5{font-size:1.1em;font-weight:600}html body h6{font-size:1em;font-weight:600}html body h1,html body h2,html body h3,html body h4,html body h5{font-weight:600}html body h5{font-size:1em}html body h6{color:#5c5c5c}html body strong{color:#000}html body del{color:#5c5c5c}html body a:not([href]){color:inherit;text-decoration:none}html body a{color:#08c;text-decoration:none}html body a:hover{color:#00a3f5;text-decoration:none}html body img{max-width:100%}html body>p{margin-top:0;margin-bottom:16px;word-wrap:break-word}html body>ul,html body>ol{margin-bottom:16px}html body ul,html body ol{padding-left:2em}html body ul.no-list,html body ol.no-list{padding:0;list-style-type:none}html body ul ul,html body ul ol,html body ol ol,html body ol ul{margin-top:0;margin-bottom:0}html body li{margin-bottom:0}html body li.task-list-item{list-style:none}html body li>p{margin-top:0;margin-bottom:0}html body .task-list-item-checkbox{margin:0 .2em .25em -1.8em;vertical-align:middle}html body .task-list-item-checkbox:hover{cursor:pointer}html body blockquote{margin:16px 0;font-size:inherit;padding:0 15px;color:#5c5c5c;background-color:#f0f0f0;border-left:4px solid #d6d6d6}html body blockquote>:first-child{margin-top:0}html body blockquote>:last-child{margin-bottom:0}html body hr{height:4px;margin:32px 0;background-color:#d6d6d6;border:0 none}html body table{margin:10px 0 15px 0;border-collapse:collapse;border-spacing:0;display:block;width:100%;overflow:auto;word-break:normal;word-break:keep-all}html body table th{font-weight:bold;color:#000}html body table td,html body table th{border:1px solid #d6d6d6;padding:6px 13px}html body dl{padding:0}html body dl dt{padding:0;margin-top:16px;font-size:1em;font-style:italic;font-weight:bold}html body dl dd{padding:0 16px;margin-bottom:16px}html body code{font-family:Menlo,Monaco,Consolas,'Courier New',monospace;font-size:.85em !important;color:#000;background-color:#f0f0f0;border-radius:3px;padding:.2em 0}html body code::before,html body code::after{letter-spacing:-0.2em;content:"\00a0"}html body pre>code{padding:0;margin:0;font-size:.85em !important;word-break:normal;white-space:pre;background:transparent;border:0}html body .highlight{margin-bottom:16px}html body .highlight pre,html body pre{padding:1em;overflow:auto;font-size:.85em !important;line-height:1.45;border:#d6d6d6;border-radius:3px}html body .highlight pre{margin-bottom:0;word-break:normal}html body pre code,html body pre tt{display:inline;max-width:initial;padding:0;margin:0;overflow:initial;line-height:inherit;word-wrap:normal;background-color:transparent;border:0}html body pre code:before,html body pre tt:before,html body pre code:after,html body pre tt:after{content:normal}html body p,html body blockquote,html body ul,html body ol,html body dl,html body pre{margin-top:0;margin-bottom:16px}html body kbd{color:#000;border:1px solid #d6d6d6;border-bottom:2px solid #c7c7c7;padding:2px 4px;background-color:#f0f0f0;border-radius:3px}@media print{html body{background-color:#fff}html body h1,html body h2,html body h3,html body h4,html body h5,html body h6{color:#000;page-break-after:avoid}html body blockquote{color:#5c5c5c}html body pre{page-break-inside:avoid}html body table{display:table}html body img{display:block;max-width:100%;max-height:100%}html body pre,html body code{word-wrap:break-word;white-space:pre}}.markdown-preview{width:100%;height:100%;box-sizing:border-box}.markdown-preview .pagebreak,.markdown-preview .newpage{page-break-before:always}.markdown-preview pre.line-numbers{position:relative;padding-left:3.8em;counter-reset:linenumber}.markdown-preview pre.line-numbers>code{position:relative}.markdown-preview pre.line-numbers .line-numbers-rows{position:absolute;pointer-events:none;top:1em;font-size:100%;left:0;width:3em;letter-spacing:-1px;border-right:1px solid #999;-webkit-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none}.markdown-preview pre.line-numbers .line-numbers-rows>span{pointer-events:none;display:block;counter-increment:linenumber}.markdown-preview pre.line-numbers .line-numbers-rows>span:before{content:counter(linenumber);color:#999;display:block;padding-right:.8em;text-align:right}.markdown-preview .mathjax-exps .MathJax_Display{text-align:center !important}.markdown-preview:not([for="preview"]) .code-chunk .btn-group{display:none}.markdown-preview:not([for="preview"]) .code-chunk .status{display:none}.markdown-preview:not([for="preview"]) .code-chunk .output-div{margin-bottom:16px}.scrollbar-style::-webkit-scrollbar{width:8px}.scrollbar-style::-webkit-scrollbar-track{border-radius:10px;background-color:transparent}.scrollbar-style::-webkit-scrollbar-thumb{border-radius:5px;background-color:rgba(150,150,150,0.66);border:4px solid rgba(150,150,150,0.66);background-clip:content-box}html body[for="html-export"]:not([data-presentation-mode]){position:relative;width:100%;height:100%;top:0;left:0;margin:0;padding:0;overflow:auto}html body[for="html-export"]:not([data-presentation-mode]) .markdown-preview{position:relative;top:0}@media screen and (min-width:914px){html body[for="html-export"]:not([data-presentation-mode]) .markdown-preview{padding:2em calc(50% - 457px + 2em)}}@media screen and (max-width:914px){html body[for="html-export"]:not([data-presentation-mode]) .markdown-preview{padding:2em}}@media screen and (max-width:450px){html body[for="html-export"]:not([data-presentation-mode]) .markdown-preview{font-size:14px !important;padding:1em}}@media print{html body[for="html-export"]:not([data-presentation-mode]) #sidebar-toc-btn{display:none}}html body[for="html-export"]:not([data-presentation-mode]) #sidebar-toc-btn{position:fixed;bottom:8px;left:8px;font-size:28px;cursor:pointer;color:inherit;z-index:99;width:32px;text-align:center;opacity:.4}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] #sidebar-toc-btn{opacity:1}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc{position:fixed;top:0;left:0;width:300px;height:100%;padding:32px 0 48px 0;font-size:14px;box-shadow:0 0 4px rgba(150,150,150,0.33);box-sizing:border-box;overflow:auto;background-color:inherit}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc::-webkit-scrollbar{width:8px}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc::-webkit-scrollbar-track{border-radius:10px;background-color:transparent}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc::-webkit-scrollbar-thumb{border-radius:5px;background-color:rgba(150,150,150,0.66);border:4px solid rgba(150,150,150,0.66);background-clip:content-box}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc a{text-decoration:none}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc ul{padding:0 1.6em;margin-top:.8em}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc li{margin-bottom:.8em}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .md-sidebar-toc ul{list-style-type:none}html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .markdown-preview{left:300px;width:calc(100% -  300px);padding:2em calc(50% - 457px -  150px);margin:0;box-sizing:border-box}@media screen and (max-width:1274px){html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .markdown-preview{padding:2em}}@media screen and (max-width:450px){html body[for="html-export"]:not([data-presentation-mode])[html-show-sidebar-toc] .markdown-preview{width:100%}}html body[for="html-export"]:not([data-presentation-mode]):not([html-show-sidebar-toc]) .markdown-preview{left:50%;transform:translateX(-50%)}html body[for="html-export"]:not([data-presentation-mode]):not([html-show-sidebar-toc]) .md-sidebar-toc{display:none}
/* Please visit the URL below for more information: */
/*   https://shd101wyy.github.io/markdown-preview-enhanced/#/customize-css */

      </style>
    </head>
    <body for="html-export">
      <div class="mume markdown-preview  ">
      <p>第1题.关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：</p>
<p>A：'2001-2002 年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构 信息化领导小组（27 号文） 网络安全委员会</p>
<p>B：'2003-2005 年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发 27 号文件)并颁布了国家信息安全战略</p>
<p>C：'2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功</p>
<p>D：'2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐</p>
<p>答案：C_</p>
<p>第2题.以下关于项目的含义，理解错误的是:</p>
<p>A：'项目是为达到特定的目的，使用一定资源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。</p>
<p>B：'项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定</p>
<p>C：'项目资源指完成项目所需要的人、财、物等</p>
<p>D：'项目目标要遵守SMART 原则，即项目的目标要求具体（Specific）、可测量（Measurable）、需相关方的一致同意（Agree to）、现实（Realistic）、有一定的时限（Time-oriented）</p>
<p>答案：B_据项目进度不能随机确定，需要根据项目预算、特性、质量等要求进行确定。</p>
<p>第3题.2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划（Comprehensive National Cybersecurity Initiative，CNCI)。CNCI 计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境．从以上内容，我们可以看出以下哪种分析是正确的:</p>
<p>A：'CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险</p>
<p>B：'从CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的</p>
<p>C：'CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在<br>
的网络基础上修修补补</p>
<p>D：'CNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障</p>
<p>答案：A_CNCI第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，总体的目标是降低网络风险。<br>
B、<br>
C、D答案均无法从题干反应。</p>
<p>第4题.下列对于信息安全保障深度防御模型的说法错误的是:</p>
<p>A：'信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，  因此对信息安全的讨论必须 放在国家政策、法律法规和标准的外部环境制约下</p>
<p>B：'信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理 体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息  系统工程的方法来建设信息系统</p>
<p>C：'信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分</p>
<p>D：'信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”</p>
<p>答案：D_D的正确描述是从内而外，自上而下，从端到边界的防护能力。</p>
<p>第5题.</p>
<p>如图，某用户通过账号、密码和验证码成功登录某银行的个人网银系统，此过程属于以下哪一类：<br>
<img alt="" src="./index_files/15820866942680.png" style="width: 400px; height: 155px;"></p>
<p>A：'个人网银系统和用户之间的双向鉴别</p>
<p>B：'由可信第三方完成的用户身份鉴别</p>
<p>C：'个人网银系统对用户身份的单向鉴别</p>
<p>D：'用户对个人网银系统合法性的单向鉴别</p>
<p>答案：C_题干为网银系统对用户的鉴别</p>
<p>第6题.<br>
如下图所示，Alice 用 Bob 的密钥加密明文，将密文发送给 Bob。Bob 再用自己的私钥解密，恢复出明文。以下说法正确的是：<img alt="" src="./index_files/15820906681411.png" style="width: 400px;"></p>
<p>A：'此密码体制为对称密码体制</p>
<p>B：'此密码体制为私钥密码体制</p>
<p>C：'此密码体制为单钥密码体制</p>
<p>D：'此密码体制为公钥密码体制</p>
<p>答案：D_题干中使用到了私钥解密，私钥是公钥密码体制中用户持有的密钥，相对于公钥而言，则为非对称密码体制，非对称密码体制又称为公钥密码体制。</p>
<p>第7题.下列哪一种方法属于基于实体“所有”鉴别方法:</p>
<p>A：'用户通过自己设置的口令登录系统，完成身份鉴别</p>
<p>B：'用户使用个人指纹，通过指纹识别系统的身份鉴别</p>
<p>C：'用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别</p>
<p>D：'用户使用集成电路卡(如智能卡)完成身份鉴别</p>
<p>答案：D_实体所有鉴别包括身份证、IC卡、钥匙、USB-Key等。</p>
<p>第8题.为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别方法?</p>
<p>A：'实体“所知”以及实体“所有”的鉴别方法</p>
<p>B：'实体“所有”以及实体“特征”的鉴别方法</p>
<p>C：'实体“所知”以及实体“特征”的鉴别方法</p>
<p>D：'实体“所有”以及实体“行为”的鉴别方法</p>
<p>答案：A_题目中安全登录会涉及到账号密码为实体所知，智能卡和短信是实体所有。</p>
<p>第9题.某单位开发一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析，模糊测试等软件测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试， 模糊测试的优势给领导做决策，以下哪条是渗透性的优势？<br>
A：'A、渗透测试以攻击者思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞</p>
<p>B：'渗透测试是用软件代替人工的一种测试方法。因此测试效率更高</p>
<p>C：'渗透测试使用人工进行测试，不依赖软件，因此测试更准确</p>
<p>D：'渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多</p>
<p>答案：A_A是渗透测试的优点。</p>
<p>第10题.软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?</p>
<p>A：'告诉用户需要收集什么数据及搜集到的数据会如何被使用</p>
<p>B：'当用户的数据由于某种原因要被使用时，给用户选择是否允许</p>
<p>C：'用户提交的用户名和密码属于稳私数据，其它都不是</p>
<p>D：'确保数据的使用符合国家、地方、行业的相关法律法规</p>
<p>答案：C_个人隐私包括但不限于用户名密码、位置、行为习惯等信息。</p>
<p>第11题.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间  接损失。在以下软件安全开发策略中，不符合软件安全保障思想的是:</p>
<p>A：'在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，  确保安全经费得到落实</p>
<p>B：'在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构  设计中存在的安全不足</p>
<p>C：'确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开 发人员编写出安全的代码</p>
<p>D：'在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，  未经以上测试的软件不允许上线运行</p>
<p>答案：D_软件的安全测试根据实际情况进行测试措施的选择和组合。</p>
<p>第12题.以下哪一项不是工作在网络第二层的隧道协议:</p>
<p>A：'VTP</p>
<p>B：'L2F</p>
<p>C：'PPTP</p>
<p>D：'L2TP</p>
<p>答案：A_L2F、PPTP、L2TP均为二层隧道协议。</p>
<p>第13题.<br>
如图所示，主体 S 对客体 01 有读(R)权限，对客体 02 有读(R)、写(W)、拥有(Own) 权限，该图所示的访问控制实现方法是：<img alt="" src="./index_files/15820871747854.png" style="width: 500px; height: 251px;"></p>
<p>A：'访问控制表(ACL)</p>
<p>B：'访问控制矩阵</p>
<p>C：'能力表(CL)</p>
<p>D：'前缀表（Profiles）</p>
<p>答案：C_定义主体访问客体的权限叫作CL。定义客体被主体访问的权限叫ACL。</p>
<p>第14题.以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于 RBAC 模型， 下列说法错误的是:</p>
<p>A：'当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝</p>
<p>B：'业务系统中的岗位、职位或者分工，可对应 RBAC 模型中的角色</p>
<p>C：'通过角色，可实现对信息资源访问的控制</p>
<p>D：'RBAC 模型不能实现多级安全中的访问控制</p>
<p>答案：D_RBAC模型能实现多级安全中的访问控制。</p>
<p>第15题.下面哪一项不是虚拟专用网络(VPN)协议标准:</p>
<p>A：'第二层隧道协议(L2TP)</p>
<p>B：'Internet 安全性(IPSEC)</p>
<p>C：'终端访问控制器访问控制系统(TACACS+)</p>
<p>D：'点对点隧道协议(PPTP)</p>
<p>答案：C_TACACS+是AAA权限控制系统，不属于VPN。</p>
<p>第16题.下列对网络认证协议 Kerberos 描述正确的是:</p>
<p>A：'该协议使用非对称密钥加密机制</p>
<p>B：'密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成</p>
<p>C：'该协议完成身份鉴别后将获取用户票据许可票据</p>
<p>D：'使用该协议不需要时钟基本同步的环境</p>
<p>答案：C_A错误，因为使用对称密码；B错误，因为密钥分发中心不包括客户机；D错误，因为协议需要时钟同步。</p>
<p>第17题.鉴别的基本途径有三种：所知、所有和个人特征，以下哪一项不是基于你所知的:</p>
<p>A：'口令</p>
<p>B：'令牌</p>
<p>C：'知识</p>
<p>D：'密码</p>
<p>答案：B_令牌是基于实体所有的鉴别方式。</p>
<p>第18题.在 ISO 的 OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?</p>
<p>A：'加密</p>
<p>B：'数字签名</p>
<p>C：'访问控制</p>
<p>D：'路由控制</p>
<p>答案：B_数字签名可以提供抗抵赖、鉴别和完整性。</p>
<p>第19题.某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是:</p>
<p>A：'选购当前技术最先进的防火墙即可</p>
<p>B：'选购任意一款品牌防火墙</p>
<p>C：'任意选购一款价格合适的防火墙产品</p>
<p>D：'选购一款同已有安全产品联动的防火墙</p>
<p>答案：D_在技术条件允许情况下，可以实现IDS和FW的联动。</p>
<p>第20题.在 OSI 参考模型中有 7 个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务?</p>
<p>A：'网络层</p>
<p>B：'表示层</p>
<p>C：'会话层</p>
<p>D：'物理层</p>
<p>答案：A_网络层、应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。</p>
<p>第21题.某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全哪项原则<br>
A：'最小权限</p>
<p>B：'权限分离</p>
<p>C：'不信任</p>
<p>D：'纵深防御</p>
<p>答案：B_权限分离是将一个较大的权限分离为多个子权限组合操作来实现。</p>
<p>第22题.以下关于互联网协议安全(Internet Protocol Security，IPsec)协议说法错误的是:</p>
<p>A：'在传送模式中，保护的是 IP 负载</p>
<p>B：'验证头协议(Authentication Header，AH)和 IP 封装安全载荷协议(Encapsulating Security Payload，ESP)都能以传输模式和隧道模式工作</p>
<p>C：'在隧道模式中，保护的是整个互联网协议 IP 包，包括 IP 头</p>
<p>D：'IPSec 仅能保证传输数据的可认证性和保密性</p>
<p>答案：D_IPSEC可以提供身份鉴别、保密性、完整性、抗抵赖、访问控制服务。</p>
<p>第23题.以下关于 PGP(Pretty Good Privacy)软件叙述错误的是:</p>
<p>A：'PGP 可以实现对邮件的加密、签名和认证</p>
<p>B：'PGP 可以实现数据压缩</p>
<p>C：'PGP 可以对邮件进行分段和重组</p>
<p>D：'PGP 采用 SHA 算法加密邮件</p>
<p>答案：D_：SHA不提供加密，SHA提供数据完整性校验。</p>
<p>第24题.入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术，它与IDS 有着许多不同点，请指出下列哪一项描述不符合 IPS 的特点?</p>
<p>A：'串接到网络线路中</p>
<p>B：'对异常的进出流量可以直接进行阻断</p>
<p>C：'有可能造成单点故障</p>
<p>D：'不会影响网络性能</p>
<p>答案：D_IPS在串联情况下，会影响网络性能。</p>
<p>第25题.相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?</p>
<p>A：'NTFS 使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等问题，而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作</p>
<p>B：'NTFS 的分区上，可以为每个文件或文件夹设置单独的许可权限</p>
<p>C：'对于大磁盘，NTFS 文件系统比 FAT 有更高的磁盘利用率</p>
<p>D：'相比 FAT 文件系统，NTFS 文件系统能有效的兼容 linux 下 EXT2 文件格式</p>
<p>答案：D_NTFS不能兼容EXT文件系统。</p>
<p>第26题.某公司系统管理员最近正在部署一台 Web 服务器，使用的操作系统是 windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是:</p>
<p>A：'网络中单独部署 syslog 服务器，将 Web 服务器的日志自动发送并存储到该syslog 日志服务器中</p>
<p>B：'严格设置 Web 日志权限，只有系统权限才能进行读和写等操作</p>
<p>C：'对日志属性进行调整，加大日志文件大小、延长覆盖时间、设置记录更多信息等</p>
<p>D：'使用独立的分区用于存储日志，并且保留足够大的日志空间</p>
<p>答案：A_在多重备份存储情况下，可以防护日志被篡改的攻击（前提非实时同步）。</p>
<p>第27题.关于 linux 下的用户和组，以下描述不正确的是 。<br>
A：'在 linux 中，每一个文件和程序都归属于一个特定的“用户”</p>
<p>B：'系统中的每一个用户都必须至少属于一个用户组</p>
<p>C：'用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于多个组</p>
<p>D：'root 是系统的超级用户，无论是否文件和程序的所有者都具有访问权限</p>
<p>答案：C_一个用户可以属于多个组。</p>
<p>第28题.安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的 Windows 操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全?</p>
<p>A：'操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞</p>
<p>B：'为了方便进行数据备份，安装 Windows 操作系统时只使用一个分区 C，所有数据和操作系统都存放在 C 盘</p>
<p>C：'操作系统上部署防病毒软件，以对抗病毒的威胁</p>
<p>D：'将默认的管理员账号 Administrator 改名，降低口令暴力破解攻击的发生可能</p>
<p>答案：B_操作系统和应用安装应分开不同磁盘部署。</p>
<p>第29题.在数据库安全性控制中，授权的数据对象，授权子系统就越灵活?</p>
<p>A：'粒度越小</p>
<p>B：'约束越细致</p>
<p>C：'范围越大</p>
<p>D：'约束范围大</p>
<p>答案：A_数据粒度越细则授权策略越灵活便利。</p>
<p>第30题.下列哪一些对信息安全漏洞的描述是错误的?</p>
<p>A：'漏洞是存在于信息系统的某种缺陷</p>
<p>B：'漏洞存在于一定的环境中，寄生在一定的客体上(如 TOE 中、过程中等</p>
<p>C：'具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用 ， 从而给信息系统安全带来威胁和损失</p>
<p>D：'漏洞都是人为故意引入的一种信息系统的弱点</p>
<p>答案：D_漏洞是人为故意或非故意引入的弱点。</p>
<p>第31题.账号锁定策略中对超过一定次数的错误登录账号进行锁定是为了对抗以下哪种攻击?</p>
<p>A：'分布式拒绝服务攻击(DDoS)</p>
<p>B：'病毒传染</p>
<p>C：'口令暴力破解</p>
<p>D：'缓冲区溢出攻击</p>
<p>答案：C_账号锁定是为了解决暴力破解攻击的。</p>
<p>第32题.数据在进行传输前，需要由协议站自上而下对数据进行封装。TCP/IP 协议中，数据封装的顺序是:</p>
<p>A：'传输层、网络接口层、互联网络层</p>
<p>B：'传输层、互联网络层、网络接口层</p>
<p>C：'互联网络层、传输层、网络接口层</p>
<p>D：'互联网络层、网络接口层、传输层</p>
<p>答案：B_</p>
<p>第33题.以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?</p>
<p>A：'ARP协议是一个无状态的协议</p>
<p>B：'为提高效率，ARP信息在系统中会缓存</p>
<p>C：'ARP缓存是动态的，可被改写</p>
<p>D：'ARP协议是用于寻址的一个重要协议</p>
<p>答案：D_D不是导致欺骗的根源。</p>
<p>第34题.张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击?</p>
<p>A：'口令攻击</p>
<p>B：'暴力破解</p>
<p>C：'拒绝服务攻击</p>
<p>D：'社会工程学攻击</p>
<p>答案：D_</p>
<p>第35题.关于软件安全开发生命周期(SDL)，下面说法错误的是:</p>
<p>A：'在软件开发的各个周期都要考虑安全因素</p>
<p>B：'软件安全开发生命周期要综合采用技术、管理和工程等手段</p>
<p>C：'测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本</p>
<p>D：'在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本</p>
<p>答案：C_设计阶段是发现和改正问题的最佳阶段。</p>
<p>第36题.在软件保障成熟度模型(Software Assurance Maturity Mode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能:</p>
<p>A：'治理，主要是管理软件开发的过程和活动</p>
<p>B：'构造，主要是在开发项目中确定目标并开发软件的过程与活动</p>
<p>C：'验证，主要是测试和验证软件的过程与活动</p>
<p>D：'购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动</p>
<p>答案：D_SAMM模型四个部分是治理、构造、验证和部署。</p>
<p>第37题.从系统工程的角度来处理信息安全问题，以下说法错误的是:</p>
<p>A：'系统安全工程指在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南</p>
<p>B：'系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内</p>
<p>C：'系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法， 是一种使用面向开发的方法</p>
<p>D：'系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上， 通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成 熟的、可测量的先进学科</p>
<p>答案：C_SSE-CMM是面向工程过程质量控制的一套方法。</p>
<p>第38题.小明是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小明谈一谈信息安全风险管理中的背景建立的基本概念与认识，小明的主要观点包括：（1）背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风险管理项目的规划和准备；（2）背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果(3)背景建立包括：风险管理准备、信息系统调查、信息系统分析和信息安全分析（4.）背景建立的阶段性成果包括：风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告、请问小明的论点中错误的是哪项:</p>
<p>A：'第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象</p>
<p>B：'第二个观点，背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准</p>
<p>C：'第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字</p>
<p>D：'第四个观点，背景建立的阶段性成果中不包括有风险管理计划书</p>
<p>答案：B_背景建立是根据政策、法律、标准、业务、系统、组织等现状来开展。</p>
<p>第39题.有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices，BP)， 正确的理解是:</p>
<p>A：'BP 是基于最新技术而制定的安全参数基本配置</p>
<p>B：'大部分 BP 是没有经过测试的</p>
<p>C：'一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段</p>
<p>D：'一项 BP 可以和其他 BP 有重叠</p>
<p>答案：C_A错误，BP是基于最佳的工程过程实践；B错误，BP是经过测试的；D错误，一项BP和其他的BP是不重复。</p>
<p>第40题.以下哪一种判断信息系统是否安全的方式是最合理的?</p>
<p>A：'是否己经通过部署安全控制措施消灭了风险</p>
<p>B：'是否可以抵抗大部分风险</p>
<p>C：'是否建立了具有自适应能力的信息安全模型</p>
<p>D：'是否已经将风险控制在可接受的范围内</p>
<p>答案：D_判断风险控制的标准是风险是否控制在接受范围内。</p>
<p>第41题.以下关于信息安全法治建设的意义，说法错误的是:</p>
<p>A：'信息安全法律环境是信息安全保障体系中的必要环节</p>
<p>B：'明确违反信息安全的行为，并对行为进行相应的处罚，以打击信息安全犯罪活动</p>
<p>C：'信息安全主要是技术问题，技术漏洞是信息犯罪的根源</p>
<p>D：'信息安全产业的逐渐形成，需要成熟的技术标准和完善的技术体系</p>
<p>答案：C_信息安全问题是多方面存在的，不能认为主要为技术问题，同时技术漏洞不是犯罪的根源所在。</p>
<p>第42题.小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知：核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少:</p>
<p>A：'24 万</p>
<p>B：'0．09 万</p>
<p>C：'37．5 万</p>
<p>D：'9 万</p>
<p>答案：D_计算公式为100万<em>24%</em>（3/8）=9万</p>
<p>第43题.2005 年 4 月 1 日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是:</p>
<p>A：'电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据</p>
<p>B：'电子签名适用于民事活动中的合同或者其他文件、单证等文书</p>
<p>C：'电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务</p>
<p>D：'电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有</p>
<p>答案：D_电子签名不可以与认证服务提供者共有。</p>
<p>第44题.风险管理的监控与审查不包含:</p>
<p>A：'过程质量管理</p>
<p>B：'成本效益管理</p>
<p>C：'跟踪系统自身或所处环境的变化</p>
<p>D：'协调内外部组织机构风险管理活动</p>
<p>答案：D_D答案属于沟通咨询工作，ABC属于风险管理的监控审查工作。</p>
<p>第45题.信息安全等级保护要求中，第三级适用的正确的是:</p>
<p>A：'适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益</p>
<p>B：'适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一般损害</p>
<p>C：'适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害</p>
<p>D：'适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对国家安全、社会秩序，经济建设和公共利益造成特别严重损害</p>
<p>答案：B_题目中B为等级保护三级，该考点为等级保护定级指南。</p>
<p>第46题.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:</p>
<p>A：'设置网络连接时限</p>
<p>B：'记录并分析系统错误日志</p>
<p>C：'记录并分析用户和管理员操作日志</p>
<p>D：'启用时钟同步</p>
<p>答案：A_A属于防护措施；BCD属于检测措施，可以用来检测未经授权的信息处理活动。</p>
<p>第47题.有关危害国家秘密安全行为的法律责任，正确的是:</p>
<p>A：'严重违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责任</p>
<p>B：'非法获取国家秘密，不会构成刑事犯罪，不需要承担刑事责任</p>
<p>C：'过失泄露国家秘密，不会构成刑事犯罪，不需要承担刑事责任</p>
<p>D：'承担了刑事责任，无需再承担行政责任或其他处分</p>
<p>答案：A_</p>
<p>第48题.以下对于信息安全事件理解错误的是:</p>
<p>A：'信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件</p>
<p>B：'对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分</p>
<p>C：'应急响应是信息安全事件管理的重要内容</p>
<p>D：'通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护， 杜绝信息安全事件的发生</p>
<p>答案：D_安全事件无法杜绝。</p>
<p>第49题.假设一个系统已经包含了充分的预防控制措施，那么安装监测控制设备:</p>
<p>A：'是多余的，因为它们完成了同样的功能，但要求更多的开销</p>
<p>B：'是必须的，可以为预防控制的功效提供检测</p>
<p>C：'是可选的，可以实现深度防御</p>
<p>D：'在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制功能已经足够</p>
<p>答案：C_</p>
<p>第50题.以下哪一项不是信息安全管理工作必须遵循的原则?</p>
<p>A：'风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中</p>
<p>B：'风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作</p>
<p>C：'由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低</p>
<p>D：'在系统正式运行后，应注重残余风险的管理，以提高快速反应能力</p>
<p>答案：C_安全措施投入应越早则成本越低，C答案则成本会上升。</p>
<p>第51题.《信息安全技术信息安全风险评估规范》（GB／T 20984-2007）中关于信息系统生命周期各阶段的风险评估描述不正确的是:</p>
<p>A：'规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等</p>
<p>B：'设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求</p>
<p>C：'实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证</p>
<p>D：'运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面</p>
<p>答案：D_该题目来源于《信息安全技术信息安全风险评估规范》（GB／T20984-2007），其原文描述D为“是一种较全面的风险评估”。</p>
<p>第52题.对信息安全风险评估要素理解正确的是:</p>
<p>A：'资产识别的力度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构</p>
<p>B：'应针对构成信息系统的每个资产做风险评价</p>
<p>C：'脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项</p>
<p>D：'信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁</p>
<p>答案：A_B错误，应该是抽样评估；C错误，应该其描述的是差距分析；D错误，应该是威胁包括人为威胁和环境威胁。</p>
<p>第53题.以下哪些是需要在信息安全策略中进行描述的:</p>
<p>A：'组织信息系统安全架构</p>
<p>B：'信息安全工作的基本原则</p>
<p>C：'组织信息安全技术参数</p>
<p>D：'组织信息安全实施手段</p>
<p>答案：B_安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段。</p>
<p>第54题.根据《关于开展信息安全风险评估工作的意见》的规定，错误的是:</p>
<p>A：'信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合、互为补充</p>
<p>B：'信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展</p>
<p>C：'信息安全风险评估应贯穿于网络和信息系统建设运行的全过程</p>
<p>D：'开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导</p>
<p>答案：A_信息安全风险评估应以自评估（自查）为主。</p>
<p>第55题.RPC 系列标准是由( )发布的:</p>
<p>A：'国际标准化组织(ISO)</p>
<p>B：'国际电工委员会(IEC)</p>
<p>C：'国际贸易中心(ITC)</p>
<p>D：'互联网工程任务组IETF</p>
<p>答案：D_</p>
<p>第56题.对于数字证书而言，一般采用的是哪个标准？<br>
A：'ISO/IEC 1540B</p>
<p>B：'802.11</p>
<p>C：'GB/T 20984</p>
<p>D：'X.509</p>
<p>答案：D_</p>
<p>第57题.下面的角色对应的信息安全职责不合理的是:</p>
<p>A：'高级管理层——最终责任</p>
<p>B：'信息安全部门主管——提供各种信息安全工作必须的资源</p>
<p>C：'系统的普通使用者——遵守日常操作规范</p>
<p>D：'审计人员——检查安全策略是否被遵从</p>
<p>答案：B_通常由管理层提供各种信息安全工作必须的资源。</p>
<p>第58题. CC 标准是目前系统安全认证方面最权威的标准，那一项不是体现 CC 标准的先进性？<br>
A：'结构开放性，即功能和保证要求可以“保护轮廓”和“安全目标”中进行一步细化和扩展</p>
<p>B：'表达方式的通用性，即给出通用的表达方式</p>
<p>C：'独立性，它强调将安全的功能和保证分离</p>
<p>D：'实用性，将 CC 的安全性要求具体应用到 IT 产品的开发、生产、测试和评估过程中</p>
<p>答案：D_CC的安全性要求可以应用于多个领域，不仅仅局限于IT领域。相同题目，选项表达不同：A结构的开放性B表达方式的通用性C独立性D实用性</p>
<p>第59题.自 2004 年 1 月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后由该组织申报。<br>
A：'全国通信标准化技术委员会(TC485)</p>
<p>B：'全国信息安全标准化技术委员会(TC260)</p>
<p>C：'中国通信标准化协会(CCSA)</p>
<p>D：'网络与信息安全技术工作委员会</p>
<p>答案：B_</p>
<p>第60题.风险计算原理可以用下面的范式形式化地加以说明：风险值=R（A，T，V)=R(L(T，V)， F(Ia，Va))以下关于上式各项说明错误的是:</p>
<p>A：'R 表示安全风险计算函数，A 表示资产，T 表示威胁，V 表示脆弱性</p>
<p>B：'L 表示威胁利资产脆弱性导致安全事件的可能性</p>
<p>C：'F 表示安全事件发生后造成的损失</p>
<p>D：'Ia，Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度</p>
<p>答案：D_Ia资产A的事件可能性；Va资产A的脆弱性。</p>
<p>第61题.为了不断完善一个组织的信息安全管理，应对组织的信息安全管理方法及实施情况 进行独立评审，这种独立评审。<br>
A：'必须按固定的时间间隔来进行</p>
<p>B：'应当由信息系统的运行维护人员发起</p>
<p>C：'可以由内部审核部门或专业的第三方机构来实施</p>
<p>D：'结束后，评审者应组织针对不符合安全策略的问题设计和实施纠正措施</p>
<p>答案：C_</p>
<p>第62题.以下哪一项在防止数据介质被滥用时是不推荐使用的方法:</p>
<p>A：'禁用主机的 CD 驱动、USB 接口等 I／O 设备</p>
<p>B：'对不再使用的硬盘进行严格的数据清除</p>
<p>C：'将不再使用的纸质文件用碎纸机粉碎</p>
<p>D：'用快速格式化删除存储介质中的保密文件</p>
<p>答案：D_快速格式化删除存储介质中的保密文件不能防止信息泄露。</p>
<p>第63题.在进行应用系统的测试时，应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的:</p>
<p>A：'测试系统应使用不低于生产系统的访问控制措施</p>
<p>B：'为测试系统中的数据部署完善的备份与恢复措施</p>
<p>C：'在测试完成后立即清除测试系统中的所有敏感数据</p>
<p>D：'部署审计措施，记录生产数据的拷贝和使用</p>
<p>答案：B_由于备份会造成个人稳私和其它敏感信息的扩散。</p>
<p>第64题.为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。<br>
A：'统一而精确地的时间</p>
<p>B：'全面覆盖系统资产</p>
<p>C：'包括访问源、访问目标和访问活动等重要信息</p>
<p>D：'可以让系统的所有用户方便的读取</p>
<p>答案：D_日志只有授权用户可以读取。</p>
<p>第65题.关于信息安全事件管理和应急响应，以下说法错误的是:</p>
<p>A：'应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施</p>
<p>B：'应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段</p>
<p>C：'对信息安全事件的分级主要参考信息系统的重要过程、系统损失和社会影响三方面</p>
<p>D：'根据信息安全事件的分级参考要素，可将信息安全事件划分为 4 个级别，特别重大事件（I 级）、重大事件（II 级）、较大事件（III 级）和一般事件（IV 级）</p>
<p>答案：B_应急响应包括六个阶段，为准备、检测、遏制、根除、恢复、跟踪总结。</p>
<p>第66题.以下哪一项不属于信息安全工程监理模型的组成部分:</p>
<p>A：'监理咨询支撑要素</p>
<p>B：'控制和管理手段</p>
<p>C：'监理咨询阶段过程</p>
<p>D：'监理组织安全实施</p>
<p>答案：D_监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。</p>
<p>第67题.以下关于灾难恢复和数据备份的理解，说法正确的是:</p>
<p>A：'增量备份是备份从上次完全备份后更新的全部数据文件</p>
<p>B：'依据具备的灾难恢复资源程度的不同，灾难恢复能力分为 7 个等级</p>
<p>C：'数据备份按数据类型划分可以划分为系统数据备份和用户数据备份</p>
<p>D：'如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了</p>
<p>答案：C_A错误，因为差分备份是上次全备后的更新数据；增量备份是任何上一次备份后的更新数据。全备份周期最长、次之差分备份，更新周期最短是增量备份。B错误，我国灾备能力级别一共分为6级。D是明显的错误。</p>
<p>第68题.某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统，通过公开招标选择 M 公司为承建单位，并选择了 H 监理公司承担该项目的全程监理工作，目前， 各个应用系统均已完成开发，M 公司已经提交了验收申请，监理公司需要对 A 公司提交的软件配置文件进行审查，在以下所提交的文档中，哪一项属于开发类文档:</p>
<p>A：'项目计划书</p>
<p>B：'质量控制计划</p>
<p>C：'评审报告</p>
<p>D：'需求说明书</p>
<p>答案：D_ABC其均属于项目管理文档。</p>
<p>第69题.在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容:</p>
<p>A：'审核实施投资计划</p>
<p>B：'审核实施进度计划</p>
<p>C：'审核工程实施人员</p>
<p>D：'企业资质</p>
<p>答案：A_监理从项目招标开始到项目的验收结束，在投资计划阶段没有监理。</p>
<p>第70题.以下关于直接附加存储(Direct Attached Storage，DAS)说法错误的是:</p>
<p>A：'DAS 能够在服务器物理位置比较分散的情况下实现大容量存储．是一种常用的数据存储方法</p>
<p>B：'DAS 实现了操作系统与数据的分离，存取性能较高并且实施简单</p>
<p>C：'DAS 的缺点在于对服务器依赖性强，当服务器发生故障时，连接在服务器上的存储设备中的数据不能被存取</p>
<p>D：'较网络附加存储(Network Attached Storage，NAS)，DAS 节省硬盘空间，数据非常集中，便于对数据进行管理和备份</p>
<p>答案：D_NAS优点数据集中、节约空间，缺点是占用网络带宽、存储中心存在单点故障。DAS优点数据分散、风险分散，缺点是存储空间利用率低、不便于统一管理。SAN基于NAS的进一步实现，基于高速网络、多备份中心来进行实现。</p>
<p>第71题.某公司在执行灾难恢复测试时．信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢，为了找到根本愿因，他应该首先检查:</p>
<p>A：'灾难恢复站点的错误事件报告</p>
<p>B：'灾难恢复测试计划</p>
<p>C：'灾难恢复计划(DRP)</p>
<p>D：'主站点和灾难恢复站点的配置文件</p>
<p>答案：A_</p>
<p>第72题.以下对异地备份中心的理解最准确的是:</p>
<p>A：'与生产中心不在同一城市</p>
<p>B：'与生产中心距离 100 公里以上</p>
<p>C：'与生产中心距离 200 公里以上</p>
<p>D：'与生产中心面临相同区域性风险的机率很小</p>
<p>答案：D_答案为D，备份中心的综合风险小于主中心。</p>
<p>第73题.作为业务持续性计划的一部分，在进行业务影响分析(BIA)时的步骤是：<br>
1.标识关键的业务过程;<br>
2.开发恢复优先级;<br>
3.标识关键的 IT 资源;<br>
4.表示中断影响和允许的中断时间<br>
A：'１-3-4-2</p>
<p>B：'１-3-2-4</p>
<p>C：'１-2-3-4</p>
<p>D：'１-4-3-2</p>
<p>答案：D_BIA是BCM的基础，BIA的调查流程为计划、数据收集、数据分析、行程报告、展示发现、进入下一阶段。数据收集的内容：1、功能关键性评估、关键业务流程、功能关系；2、影响/最大宕机时间（为每个在第一阶段识别出的关键业务区做中断影响评估并识别最大可接受中断时间）；3、支持功能的关键设备和资源；4、关键任务记录（业务流程继续所需的信息，不是恢复后的系统或应用所能提供的）；5、网络和系统需求</p>
<p>第74题.有关系统安全工程-能力成熟度模型(SSE-CMM)，错误的理解是:</p>
<p>A：'SSE-CMM 要求实施组织与其他组织相互作用，如开发方、产品供应商、集成商和咨询服务商等</p>
<p>B：'SSE-CMM 可以使安全工程成为一个确定的、成熟的和可度量的科目</p>
<p>C：'基于SSE-CMM 的工程是独立工程，与软件工程、硬件工程、通信工程等分别规划实施</p>
<p>D：'SSE-CMM 覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动</p>
<p>答案：C_SSE-CMM是系统工程，不可以独立实施。</p>
<p>第75题.下面关于信息系统安全保障的说法不正确的是:</p>
<p>A：'信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关</p>
<p>B：'信息系统安全保障要素包括信息的完整性、可用性和保密性</p>
<p>C：'信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障</p>
<p>D：'信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命</p>
<p>答案：B_信息系统安全保障的安全特征是完整、保密和可用性。信息系统安全保障要素为技术、工程、管理和人员四个领域。</p>
<p>第76题.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度  进行测量时，正确的理解是:</p>
<p>A：'测量单位是基本实施(Base Practices，BP)</p>
<p>B：'测量单位是通用实施(Generic Practices，GP)</p>
<p>C：'测量单位是过程区域(Process Areas，PA）作为域维</p>
<p>D：'测量单位是公共特征(Common Features，CF)  作为基本维</p>
<p>答案：D_AC是域维，BD能力维</p>
<p>第77题.下面关于信息系统安全保障模型的说法不正确的是:</p>
<p>A：'国家标准《信息系统安全保障评估框架第一部分： 简介和一般模型》(GB／ T20274．1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心</p>
<p>B：'模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化</p>
<p>C：'信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全</p>
<p>D：'信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入</p>
<p>答案：D_单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。</p>
<p>第78题.信息系统安全工程(ISSE)的一个重要目标就是在IT 项目的各个阶段充分考虑安全因素，在IT 项目的立项阶段，以下哪一项不是必须进行的工作:</p>
<p>A：'明确业务对信息安全的要求</p>
<p>B：'识别来自法律法规的安全要求</p>
<p>C：'论证安全要求是否正确完整</p>
<p>D：'通过测试证明系统的功能和性能可以满足安全要求</p>
<p>答案：D_D属于项目的验收阶段，不属于IT项目的立项阶段。</p>
<p>第79题.关于信息安全保障技术框架(IATF)，以下说法不正确的是:</p>
<p>A：'分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本</p>
<p>B：'IATF 从人、技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施</p>
<p>C：'允许在关键区域(例如区域边界)使用高安全级保障解决方案，确保系统安全性</p>
<p>D：'IATF 深度防御战略要求在网络体系结构各个可能位置实现所有信息安全保障机制</p>
<p>答案：D_IATF是在网络的各位置实现所需的安全机制。</p>
<p>第80题.以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?</p>
<p>A：'应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑</p>
<p>B：'应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品</p>
<p>C：'应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实</p>
<p>D：'应详细规定系统验收测试中有关系统安全性测试的内容</p>
<p>答案：A_A为概念与需求定义的工作内容。</p>
<p>第81题.信息安全工程监理的职责包括:</p>
<p>A：'质量控制、进度控制、成本控制、合同管理、信息管理和协调</p>
<p>B：'质量控制、进度控制、成本控制、合同管理和协调</p>
<p>C：'确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调</p>
<p>D：'确定安全要求、认可设计方案、监视安全态势和协调</p>
<p>答案：A_A为监理的内容。</p>
<p>第82题.关于信息安全保障的概念，下面说法错误的是:</p>
<p>A：'信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念</p>
<p>B：'信息安全保障已从单纯保护和防御阶段发展为集保护、检测和响应为一体的综合阶段</p>
<p>C：'在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全</p>
<p>D：'信息安全保障把信息安全从技术扩展到管理，通过技术、管理和工程等措施的综合融合，形成对信息、信息系统及业务使命的保障</p>
<p>答案：C_网络空间安全不能单纯依靠技术措施来保障。</p>
<p>第83题.关于监理过程中成本控制，下列说法中正确的是?</p>
<p>A：'成本只要不超过预计的收益即可</p>
<p>B：'成本应控制得越低越好</p>
<p>C：'成本控制由承建单位实现，监理单位只能记录实际开销</p>
<p>D：'成本控制的主要目的是在批准的预算条件下确保项目保质按期完成</p>
<p>答案：D_</p>
<p>第84题.有关危害国家秘密安全的行为，包括:</p>
<p>A：'严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为</p>
<p>B：'严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为，但不包括定密不当行为</p>
<p>C：'严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为， 但不包括公共信息网络运营商及服务商不履行保密义务的行为</p>
<p>D：'严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为</p>
<p>答案：A_</p>
<p>第85题.下列关于ISO15408 信息技术安全评估准则(简称 CC)通用性的特点，即给出通用的表达方式，描述不正确的是<br>
A：'如果用户、开发者、评估者和认可者都使用 CC 语言，互相就容易理解沟通</p>
<p>B：'通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义</p>
<p>C：'通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要</p>
<p>D：'通用性的特点使得 CC 也适用于对信息安全建设工程实施的成熟度进行评估</p>
<p>答案：D_SSE-CMM用于对安全建设工程的成熟度进行评估。</p>
<p>第86题.信息系统建设完成后，（ ）的信息系统的而运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用<br>
A：'二级以上</p>
<p>B：'三级以上</p>
<p>C：'四级以上</p>
<p>D：'五级以上</p>
<p>答案：A_</p>
<p>第87题.有关国家秘密，错误的是:</p>
<p>A：'国家秘密是关系国家安全和利益的事项</p>
<p>B：'国家秘密的确定没有正式的法定程序</p>
<p>C：'除了明确规定需要长期保密的，其他的园家秘密都是有保密期限的</p>
<p>D：'国家秘密只限一定范围的人知悉</p>
<p>答案：B_</p>
<p>第88题.在可信计算机系统评估准则（TCSEC）中，下列哪一项是满足强制保护要求的最低级别？<br>
A：'C2</p>
<p>B：'C1</p>
<p>C：'B2</p>
<p>D：'B1</p>
<p>答案：D_</p>
<p>第89题.对涉密系统进行安全保密测评应当依据以下哪个标准?</p>
<p>A：'BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》</p>
<p>B：'BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》</p>
<p>C：'GB17859-1999《计算机信息系统安全保护等级划分准则》</p>
<p>D：'GB／ T20271-2006《信息安全技术信息系统统用安全技术要求》</p>
<p>答案：B_</p>
<p>第90题.ISO/IBC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于_____</p>
<p>A：'、BS7799-1《信息安全实施细则》</p>
<p>B：'BS7799-2《信息安全管理体系规范》</p>
<p>C：'信息技术安全评估准则（简称ITSEC）</p>
<p>D：'信息技术安全评估标准（简称CC）</p>
<p>答案：B_</p>
<p>第91题.在 GB／T18336《信息技术安全性评估准则》（CC 标准）中，有关保护轮廓(Protection Profile，PP)和安全目标(Security Target，ST)，错误的是:</p>
<p>A：'PP 是描述一类产品或系统的安全要求</p>
<p>B：'PP 描述的安全要求与具体实现无关</p>
<p>C：'两份不同的 ST 不可能满足同一份 PP 的要求</p>
<p>D：'ST 与具体的实现有关</p>
<p>答案：C_两份不同的ST可以同时满足同一份PP的要求。</p>
<p>第92题.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?</p>
<p>A：'提高信息技术产品的国产化率</p>
<p>B：'保证信息安全资金投入</p>
<p>C：'加快信息安全人才培养</p>
<p>D：'重视信息安全应急处理工作</p>
<p>答案：A_提高信息技术产品的国产化率不属于九项重点工作内容之一。</p>
<p>第93题.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？<br>
A：'软件在 Linux 下按照时，设定运行时使用 nobody 用户运行实例</p>
<p>B：'软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库</p>
<p>C：'软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限</p>
<p>D：'为了保证软件在 Windows 下能稳定的运行，设定运行权限为 system，确保系统运行正常， 不会因为权限不足产生运行错误</p>
<p>答案：D_SYSTEM权限是最大权限，答案为D。</p>
<p>第94题.某单位计划在今年开发一套办公自动化（ＯＡ）系统，将集团公司各地的机构通过互联网进行协同办公，在ＯＡ系统的设计方案评审会上，提出了不少安全开发的建设，作为安全专家，请指出大家提的建议中不太合适的一条:</p>
<p>A：'对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题</p>
<p>B：'要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识</p>
<p>C：'要求软件开发商使用Ｊａｖａ而不是ＡＳＰ作为开发语言，避免ＳＱＬ注入漏洞</p>
<p>D：'要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对数据进行校验</p>
<p>答案：C_SQL注入与编码SQL语法应用和过滤有关，与开发语言不是必然关系</p>
<p>第95题.某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨 时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应在软件安全开发  阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家，请选择对软件开发安全  投入的准确说法?</p>
<p>A：'信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比软件  运行后的费用要低</p>
<p>B：'软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员进行  代码修订更简单，因此费用更低</p>
<p>C：'双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线后再  解决问题费用更低</p>
<p>D：'双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问题，解决的代价相同</p>
<p>答案：A_</p>
<p>第96题.某集团公司根据业务需求，在各地分支机构部属前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机种提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则， 应采取以下哪项处理措施？<br>
A：'由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析</p>
<p>B：'为配合总部的安全策略，会带来一定安全问题，但不影响系统使用，因此接受此风险</p>
<p>C：'日志的存在就是安全风险，最好的办法就是取消日志，通过设置前置机不记录日志</p>
<p>D：'只允许特定ＩＰ地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间</p>
<p>答案：D_D的特定ＩＰ地址从前置机提取降低了开放日志共享的攻击面。</p>
<p>第97题.某电子商务网站最近发生了一起安全事件，出现了一个价值 1000 元的商品用 1 元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用 Http 协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值 1000 元的商品以 1 元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是?</p>
<p>A：'该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用 https</p>
<p>B：'该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施</p>
<p>C：'该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决</p>
<p>D：'该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可</p>
<p>答案：A_根据题干是采用HTTP的协议导致的，则答案为A。</p>
<p>第98题.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需求考虑的攻击方式<br>
A：'攻击者利用软件存在的逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终１００％</p>
<p>B：'攻击者利用软件脚本使用多重嵌套咨询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢</p>
<p>C：'攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问</p>
<p>D：'攻击者买通ＩＤＣ人员，将某软件运行服务器的网线拔掉导致无法访问</p>
<p>答案：D_D为社会工程学攻击。</p>
<p>第99题.以下哪个选项不是防火墙提供的安全功能?</p>
<p>A：'IP地址欺骗防护</p>
<p>B：'NAT</p>
<p>C：'访问控制</p>
<p>D：'SQL注入攻击防护</p>
<p>答案：D_SQL注入防护是WAF的主要功能。</p>
<p>第100题.以下关于可信计算说法错误的是:</p>
<p>A：'可信的主要目的是要建立起主动防御的信息安全保障体系</p>
<p>B：'可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念</p>
<p>C：'可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信</p>
<p>D：'可信计算平台出现后会取代传统的安全防护体系和方法</p>
<p>答案：D_可信计算平台出现后不会取代传统的安全防护体系和方法。</p>
<p>第101题.Linux 系统对文件的权限是以模式位的形式来表示，对于文件名为 test 的一个文件，属于admin 组中 user 用户，以下哪个是该文件正确的模式表示?</p>
<p>A：'rwxr-x r-x 3 user admin 1024 Sep 13 11：58 test</p>
<p>B：'drwxr-x r-x 3 user admin 1024 Sep 13 11：58 test</p>
<p>C：' rwxr-x r-x 3 admin user 1024 Sep 13 11：58 test</p>
<p>D：'rwxr-x r-x 3 admin user 1024 Sep 13 11：58 test</p>
<p>答案：A_</p>
<p>第102题.Apache Web 服务器的配置文件一般位于/usr／local／apache／conf 目录，其中用来控制用户访问 Apache 目录的配置文件是:</p>
<p>A：'http<br>
D.conf</p>
<p>B：'srL conf</p>
<p>C：'access．conf</p>
<p>D：'Inet<br>
D.conf</p>
<p>答案：A_</p>
<p>第103题.应用软件的数据存储在数据库中，为了保证数据安全，应设置良好的数据库防护策略，以下不属于数据库防护策略的是?</p>
<p>A：'安装最新的数据库软件安全补丁</p>
<p>B：'对存储的敏感数据进行安全加密</p>
<p>C：'不使用管理员权限直接连接数据库系统</p>
<p>D：'定期对数据库服务器进行重启以确保数据库运行良好</p>
<p>答案：D_D属于运行安全操作，不属于安全防护策略。</p>
<p>第104题.下列哪项内容描述的是缓冲区溢出漏洞?</p>
<p>A：'通过把 SQL 命令插入到 web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令</p>
<p>B：'攻击者在远程 WEB 页面的 HTML 代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。</p>
<p>C：'当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上</p>
<p>D：'信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷</p>
<p>答案：C_C为缓冲区溢出的正确解释。</p>
<p>第105题.对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，说法错误的是:</p>
<p>A：'在使用来自外部的移动介质前，需要进行安全扫描</p>
<p>B：'限制用户对管理员权限的使用</p>
<p>C：'开放所有端口和服务，充分使用系统资源</p>
<p>D：'不要从不可信来源下载或执行应用程序</p>
<p>答案：C_C是错误的，应该是最小化端口和服务。</p>
<p>第106题.安全专家在对某网站进行安全部署时，调整了 Apache 的运行权限，从 root 权限降低为nobody 用户，以下操作的主要目的是:</p>
<p>A：'为了提高 Apache 软件运行效率</p>
<p>B：'为了提高 Apache 软件的可靠性</p>
<p>C：'为了避免攻击者通过 Apache 获得 root 权限</p>
<p>D：'为了减少 Apache 上存在的漏洞</p>
<p>答案：C_</p>
<p>第107题.下列关于计算机病毒感染能力的说法不正确的是:</p>
<p>A：'能将自身代码注入到引导区</p>
<p>B：'能将自身代码注入到扇区中的文件镜像</p>
<p>C：'能将自身代码注入文本文件中并执行</p>
<p>D：'能将自身代码注入到文档或模板的宏中代码</p>
<p>答案：C_代码注入文本文件中不能执行。</p>
<p>第108题.以下哪个是恶意代码采用的隐藏技术:</p>
<p>A：'文件隐藏</p>
<p>B：'进程隐藏</p>
<p>C：'网络连接隐藏</p>
<p>D：'以上都是</p>
<p>答案：D_</p>
<p>第109题.通过向被攻击者发送大量的 ICMP 回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为:</p>
<p>A：'Land 攻击</p>
<p>B：'Smurf 攻 击</p>
<p>C：'Ping of Death 攻击</p>
<p>D：'ICMP Flood</p>
<p>答案：D_发送大量的ICMP回应请求为ICMPFlood。</p>
<p>第110题.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击<br>
A：'Land</p>
<p>B：'UDP Flood</p>
<p>C：'Smurf</p>
<p>D：'Teardrop</p>
<p>答案：D_Teardrop属于碎片攻击，不属于流量型拒绝服务攻击。</p>
<p>第111题.<br>
传输控制协议(TCP)是传输层协议，以下关于TCP协议的说法，哪个是正确的?</p>
<p>A：'相比传输层的另外一个协议 UDP，TCP 既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途</p>
<p>B：'TCP 协议包头中包含了源 IP 地址和目的 IP 地址，因此 TCP 协议负责将数据传送到正确的主机</p>
<p>C：'TCP 协议具有流量控制、数据校验、超时重发、接收确认等机制，因此 TCP 协议能完全替代 IP 协议</p>
<p>D：'TCP 协议虽然高可靠，但是相比 UDP 协议机制过于复杂，传输效率要比 UDP 低</p>
<p>答案：D_</p>
<p>第112题.以下关于 UDP 协议的说法，哪个是错误的?</p>
<p>A：'UDP 具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击</p>
<p>B：'UDP 协议包头中包含了源端口号和目的端口号，因此 UDP 可通过端口号将数据包送达正确的程序</p>
<p>C：'相比 TCP 协议，UDP 协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据</p>
<p>D：'UDP 协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据</p>
<p>答案：D_UDP协议无流量控制，超时重发等机制。</p>
<p>第113题.有关项目管理，错误的理解是:</p>
<p>A：'项目管理是一门关于项目资金、时间、人力等资源控制的管理科学</p>
<p>B：'项目管理是运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理，不受项目资源的约束</p>
<p>C：'项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理</p>
<p>D：'项目管理是系统工程思想针对具体项目的实践应用</p>
<p>答案：B_项目管理受项目资源的约束。</p>
<p>第114题.近年来利用 DNS 劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?</p>
<p>A：'加强网站源代码的安全性</p>
<p>B：'对网络客户端进行安全评估</p>
<p>C：'协调运营商对域名解析服务器进行加固</p>
<p>D：'在网站的网络出口部署应用级防火墙</p>
<p>答案：C_协调运营商对域名解析服务器进行加固是DNS防护的主要手段。</p>
<p>第115题.关于源代码审核，下列说法正确的是:</p>
<p>A：'人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点</p>
<p>B：'源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处</p>
<p>C：'使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核</p>
<p>D：'源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处</p>
<p>答案：D_D为源代码审核工作内容描述。</p>
<p>第116题.在戴明环(PDCA)模型中，处置(ACT)环节的信息安全管理活动是:</p>
<p>A：'建立环境</p>
<p>B：'实施风险处理计划</p>
<p>C：'持续的监视与评审风险</p>
<p>D：'持续改进信息安全管理过程</p>
<p>答案：D_持续改进信息安全管理过程属于处置(ACT)阶段。</p>
<p>第117题.信息系统的业务特性应该从哪里获取?</p>
<p>A：'机构的使命</p>
<p>B：'机构的战略背景和战略目标</p>
<p>C：'机构的业务内容和业务流程</p>
<p>D：'机构的组织结构和管理制度</p>
<p>答案：C_业务特性从机构的业务内容和业务流程获取。</p>
<p>第118题.在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段?</p>
<p>A：'背景建立</p>
<p>B：'风险评估</p>
<p>C：'风险处理</p>
<p>D：'批准监督</p>
<p>答案：C_“安全产品选择”是为了进行风险处理。</p>
<p>第119题.以下关于“最小特权”安全管理原则理解正确的是:</p>
<p>A：'组织机构内的敏感岗位不能由一个人长期负责</p>
<p>B：'对重要的工作进行分解，分配给不同人员完成</p>
<p>C：'一个人有且仅有其执行岗位所足够的许可和权限</p>
<p>D：'防止员工由一个岗位变动到另一个岗位，累积越来越多的权限</p>
<p>答案：C_C是“最小特权”的解释；A描述的是轮岗；B描述的是权限分离；D描述的是防止权限蔓延。</p>
<p>第120题.以下哪一项不属于常见的风险评估与管理工具:</p>
<p>A：'基于信息安全标准的风险评估与管理工具</p>
<p>B：'基于知识的风险评估与管理工具</p>
<p>C：'基于模型的风险评估与管理工具</p>
<p>D：'基于经验的风险评估与管理工具</p>
<p>答案：D_D基于经验的风险评估工具不存在。</p>
<p>第121题.以下说法正确的是:</p>
<p>A：'验收测试是由承建方和用户按照用户使用手册执行软件验收</p>
<p>B：'软件测试的目的是为了验证软件功能是否正确</p>
<p>C：'监理工程师应按照有关标准审查提交的测试计划，并提出审查意见</p>
<p>D：'软件测试计划开始于软件设计阶段，完成于软件开发阶段</p>
<p>答案：C_C是监理工程师的职责。</p>
<p>第122题.信息系统安全保护等级为 3 级的系统，应当()年进行一次等级测评?</p>
<p>A：'0.5</p>
<p>B：'1</p>
<p>C：'2</p>
<p>D：'3</p>
<p>答案：B_等级保护三级系统一年测评一次，四级系统每半年测评一次。</p>
<p>第123题.国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述?</p>
<p>A：'处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的</p>
<p>B：'能够局部反应国家防御和治安实力的</p>
<p>C：'我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺</p>
<p>D：'国际领先，并且对国防建设或者经济建设具有特别重大影响的</p>
<p>答案：D_D为绝密级。</p>
<p>第124题.根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定，以下正确的是:</p>
<p>A：'涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行</p>
<p>B：'非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行</p>
<p>C：'可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告</p>
<p>D：'此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容</p>
<p>答案：C_</p>
<p>第125题.某单位信息安全岗位员工，利用个人业余时间，在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯，这一行为主要符合以下哪一条注册信息安全专业人员（CISP）职业道德准则:</p>
<p>A：'避免任何损害 CISP 声誉形象的行为</p>
<p>B：'自觉维护公众信息安全，拒绝并抵制通过计算机网络系统泄露个人隐私的行为</p>
<p>C：'帮助和指导信息安全同行提升信息安全保障知识和能力</p>
<p>D：'不在公众网络传播反动、暴力、黄色、低俗信息及非法软件</p>
<p>答案：C_</p>
<p>第126题.信息安全保障技术框架(Information Assurance Technical Framework，IATF)由美国国家安全局(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是:</p>
<p>A：'网络和基础设施区域边界重要服务器</p>
<p>B：'网络和基础设施区域边界计算环境</p>
<p>C：'网络机房环境  网络接口计算环境</p>
<p>D：'网络机房环境  网络接口重要服务器</p>
<p>答案：B_</p>
<p>第127题.以下哪一项不是我国信息安全保障的原则:</p>
<p>A：'立足国情，以我为主，坚持以技术为主</p>
<p>B：'正确处理安全与发展的关系，以安全保发展，在发展中求安全</p>
<p>C：'统筹规划，突出重点，强化基础性工作</p>
<p>D：'明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系</p>
<p>答案：A_A的正确描述为立足国情，以我为主，坚持以技术和管理并重。</p>
<p>第128题.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于安全保障建设主要工作内容说法不正确的是:</p>
<p>A：'建全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障</p>
<p>B：'建设信息安全基础设施，提供国家信息安全保障能力支撑</p>
<p>C：'建立信息安全技术体系，实现国家信息化发展的自主创新</p>
<p>D：'建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养</p>
<p>答案：C_实现自主创新在过去的的保障中为自主可控。</p>
<p>第129题.某银行信息系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素<br>
A：'信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准</p>
<p>B：'信息系统所承载该银行业务正常运行的安全需求</p>
<p>C：'消除或降低该银行信息系统面临的所有安全风险</p>
<p>D：'该银行整体安全策略</p>
<p>答案：C_无法消除或降低该银行信息系统面临的所有安全风险。</p>
<p>第130题.下列选项中，哪个不是我国信息安全保障工作的主要内容:</p>
<p>A：'加强信息安全标准化工作，积极采用“等同采用、修改采用、制定”等多种方式，尽快建立和完善我国信息安全标准体系</p>
<p>B：'建立国家信息安全研究中心，加快建立国家急需的信息安全技术体系，实现国家信息安全自主可控目标</p>
<p>C：'建设和完善信息安全基础设施，提供国家信息安全保障能力支撑</p>
<p>D：'加快信息安全学科建设和信息安全人才培养</p>
<p>答案：B_建立国家信息安全研究中心不是我国信息安全保障工作的主要内容。</p>
<p>第131题.关于信息安全管理，说法错误的是:</p>
<p>A：'信息安全管理是管理者为实现信息安全目标(信息资产的 CIA 等特性，以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动</p>
<p>B：'信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力</p>
<p>C：'实现信息安全，技术和产品是基础，管理是关键</p>
<p>D：'信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程</p>
<p>答案：D_信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个动态过程</p>
<p>第132题.以下哪个选项不是信息安全需求的来源?</p>
<p>A：'法律法规与合同条约的要求</p>
<p>B：'组织的原则、目标和规定</p>
<p>C：'风险评估的结果</p>
<p>D：'安全架构和安全厂商发布的病毒、漏洞预警</p>
<p>答案：D_D不属于信息安全需求的来源。</p>
<p>第133题.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:</p>
<p>A：'确保采购定制的设备、软件和其他系统组件满足已定义的安全要求</p>
<p>B：'确保整个系统已按照领导要求进行了部署和配置</p>
<p>C：'确保系统使用人员已具备使用系统安全功能和安全特性的能力</p>
<p>D：'确保信息系统的使用已得到授权</p>
<p>答案：B_B是错误的，不是按照领导要求进行了部署和配置。</p>
<p>第134题.下列关于信息系统生命周期中安全需求说法不准确的是:</p>
<p>A：'明确安全总体方针，确保安全总体方针源自业务期望</p>
<p>B：'描述所涉及系统的安全现状，提交明确的安全需求文档</p>
<p>C：'向相关组织和领导人宣贯风险评估准则</p>
<p>D：'对系统规划中安全实现的可能性进行充分分析和论证</p>
<p>答案：C_C属于风险评估阶段，不属于题干中的安全需求阶段。</p>
<p>第135题.小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：<br>
1.风险评估工作形式包括：自评估和检查评估；<br>
2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；<br>
3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；<br>
4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼. 请问小张的所述论点中错误的是哪项:</p>
<p>A：'第一个观点</p>
<p>B：'第二个观点</p>
<p>C：'第三个观点</p>
<p>D：'第四个观点</p>
<p>答案：D_正确的做法为“自评估”和“检查评估”相互结合和互为补充。</p>
<p>第136题.小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项:</p>
<p>A：'风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析</p>
<p>B：'定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性</p>
<p>C：'定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性</p>
<p>D：'半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化</p>
<p>答案：B_定性分析不能靠直觉、不能随意</p>
<p>第137题.风险评估工具的使用在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用愿理，风险评估工具可以为以下几类，其中错误的是:</p>
<p>A：'风险评估与管理工具</p>
<p>B：'系统基础平台风险评估工具</p>
<p>C：'风险评估辅助工具</p>
<p>D：'环境风险评估工具</p>
<p>答案：D_通常情况下信息安全风险评估工具不包括环境评估工具。</p>
<p>第138题.为了解风险和控制风险，应当及时进行风险评估活动，我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是()<br>
A：'自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估</p>
<p>B：'自评估应参照相应标准、依据制定的评估方案和准则，结合系统特定的安全要求实施</p>
<p>C：'自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施</p>
<p>D：'周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行</p>
<p>答案：C_自评估可以委托社会风险评估服务机构来实施。</p>
<p>第139题.信息安全风险评估是信息安全风险管理工作中的重要环节，在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中，风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求，下面选项中描述正确的是( )。<br>
A：'信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充</p>
<p>B：'信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充</p>
<p>C：'自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用</p>
<p>D：'自评估和检查评估是相互排斥的，无特殊理由单位均应选择检查评估，以保证安全效果</p>
<p>答案：A_</p>
<p>第140题.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式，该部门将有检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是<br>
A：'检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上， 对关键环节或重点内容实施抽样评估</p>
<p>B：'检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测</p>
<p>C：'检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施</p>
<p>D：'检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特</p>
<p>答案：B_检查评估由上级管理部门组织发起；本级单位发起的为自评估。</p>
<p>第141题.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小，假设单位机房的总价值为 200 万元人民币，暴露系数(Exposure Factor，EF)是 25％，年度发生率(Annualized Rate of Occurrence ， ARO) 为 0 ． 1 ， 那么小王计算的年度预期损失(Annualized Loss Expectancy，ALE)应该是()<br>
A：'5 万元人民币</p>
<p>B：'50 万元人民币</p>
<p>C：'2．5 万元人民币</p>
<p>D：'25 万元人民币</p>
<p>答案：A_计算方法为200万×25%×0.1=5万。</p>
<p>第142题.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，形成了《风险评估方案》并得到了管理决策层的认可，在风险评估实施的各个阶段中，该《风险评估方案》应是如下( )中的输出结果。<br>
A：'风险评估准备阶段</p>
<p>B：'风险要素识别阶段</p>
<p>C：'风险分析阶段</p>
<p>D：'风险结果判定阶段</p>
<p>答案：A_《风险评估方案》属于风险评估准备阶段的结果。</p>
<p>第143题.<br>
规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下()</p>
<p>A：'风险评估准备</p>
<p>B：'风险要素识别</p>
<p>C：'风险分析</p>
<p>D：'风险结果判定</p>
<p>答案：B_风险要素包括资产、威胁、脆弱性、安全措施。</p>
<p>第144题.<br>
风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要 过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项()<img alt="" src="./index_files/15820905886567.png" style="width: 400px; height: 200px;"></p>
<p>A：'识别面临的风险并赋值</p>
<p>B：'识别存在的脆弱性并赋值</p>
<p>C：'制定安全措施实施计划</p>
<p>D：'检查安全措施有效性</p>
<p>答案：B_本题为老题目中的衍生题。题目中的空白处应是“识别需要保护的资产并赋值”，但是由于本道题目的选项与老题目保持一致，选项中没有资产，故保持原题目本身的B选项。</p>
<p>第145题.某单位在实施信息安全风险评估后，形成了若干文挡，下面( )中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。<br>
A：'《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容</p>
<p>B：'《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容</p>
<p>C：'《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容</p>
<p>D：'《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容</p>
<p>答案：C_风险要素包括资产、威胁、脆弱性、安全措施。</p>
<p>第146题.文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是:</p>
<p>A：'组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是 ISMS 审核的依据</p>
<p>B：'组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制</p>
<p>C：'组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容</p>
<p>D：'层次化的文档是 ISMS 建设的直接体现，文档体系应当依据风险评估的结果建立</p>
<p>答案：B_信息安全管理体系运行记录需要保护和控制。</p>
<p>第147题.北京某公司利用 SSE-CMM 对其自身工程队伍能力进行自我改善，其理解正确的是:</p>
<p>A：'系统安全工程能力成熟度模型（SSE-CMM）定义了 6 个能力级别，当工程队不能执行一个过程域中的基本实践时，该过程域的过程能力为 0 级</p>
<p>B：'达到 SSE-CMM 最高级以后，工程队伍执行同一个过程，每次执行结果质量必须相同。</p>
<p>C：'系统安全工程能力成熟度模型（SSE-CMM）定义了 3 个风险过程：评价威胁，评价脆弱性，评价影响。</p>
<p>D：'SSE-CMM 强调系统安全工程与其他工程科学的区别和独立性。</p>
<p>答案：A_A当工程队不能执行一个过程域中的基本实践时，该过程域的过程能力为0级；B错误，每次质量结果难以相同；C错误，SSE-CMM定义了一个风险过程，包括四个部分，评估影响、评估威胁、评估脆弱性、评估安全风险。D错误，SSE-CMM强调的是关联性而非独立性。</p>
<p>第148题.某项目的主要内容为建造 A 类机房，监理单位需要根据《电子信息系统机房设计规范》(GB 50174-2008)的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是:</p>
<p>A：'在异地建立备份机房时，设计时应与主用机房等级相同</p>
<p>B：'由于高端小型机发热量大，因此采用活动地板上送风，下回风的方式</p>
<p>C：'因机房属于 A 级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时， 所配备的柴油发电机应能承担全部负荷的需要</p>
<p>D：'A 级主机房应设置洁净气体灭火系统</p>
<p>答案：B_散热为下送风、上回风；侧送风、侧回风。</p>
<p>第149题.<br>
在工程实施阶段，监理机构依据承建合同、安全设计方案、实施方案、实施录、国家或地方相关标准和技术指导文件，对信息化工程进行安全（ ）检查，以验证项目是否实现了项目设计目标和安全等级要求</p>
<p>A：'功能性</p>
<p>B：'可用性</p>
<p>C：'保障性</p>
<p>D：'符合性</p>
<p>答案：D_题干描述为符合性检查。</p>
<p>第150题.下系统工程说法错误的是:</p>
<p>A：'系统工程是基本理论的技术实现</p>
<p>B：'系统工程是一种对所有系统都具有普遍意义的科学方法</p>
<p>C：'系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法</p>
<p>D：'系统工程是一种方法论</p>
<p>答案：A_系统工程是方法论，不是技术实现。</p>
<p>第151题.系统安全工程-能力成熟度模型（Systems Security Engineering-Capability maturity model，SSE-CMM）定义的包含评估影响、评估威胁、评估脆弱性和评估安全风险的基本过程领域是:</p>
<p>A：'风险过程</p>
<p>B：'工程过程</p>
<p>C：'保证过程</p>
<p>D：'评估过程</p>
<p>答案：A_</p>
<p>第152题.有关系统安全工程-能力成熟度模型（SSE-CMM）中的通用实施（Generic Practices ， GP）错误理解是:</p>
<p>A：'GP 是涉及过程的管理、测量和制度化方面的活动</p>
<p>B：'GP 适用于域维中部分过程区域（Process Aractices ，PA）活动而非所有 PA 的活动</p>
<p>C：'在工程实施时，GP 应该作为基本实施（ Base Practices，BP）的一部分加以执行</p>
<p>D：'在评估时，GP 用于判定工程组织执行某个 PA 的能力</p>
<p>答案：B_GP适用于域维中所有PA活动。</p>
<p>第153题.以下关于信息安全工程说法正确的是:</p>
<p>A：'信息化建设中系统功能的实现是最重要的</p>
<p>B：'信息化建设可以实施系统，而后对系统进行安全加固</p>
<p>C：'信息化建设中在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设</p>
<p>D：'信息化建设没有必要涉及信息安全建设</p>
<p>答案：C_C为安全工程的同步原则。</p>
<p>第154题.关于业务连续性计划（BCP）以下说法最恰当的是:</p>
<p>A：'组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个控制过程</p>
<p>B：'组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程</p>
<p>C：'组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个控制过程</p>
<p>D：'组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个控制过程</p>
<p>答案：B_业务连续性计划（BCP）是解决关键业务不中断。</p>
<p>第155题.组织建立业务连续性计划（BCP)的作用包括:</p>
<p>A：'在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性</p>
<p>B：'提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据</p>
<p>C：'保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失</p>
<p>D：'以上都是</p>
<p>答案：D_</p>
<p>第156题.业务系统运行中异常错误处理合理的方法是:</p>
<p>A：'让系统自己处理异常</p>
<p>B：'调试方便，应该让更多的错误更详细的显示出来</p>
<p>C：'捕获错误，并抛出前台显示</p>
<p>D：'捕获错误，只显示简单的提示信息，或不显示任何信息</p>
<p>答案：D_</p>
<p>第157题.对信息安全事件的分级参考下列三个要素：信息系统的重要程度、系统损失和社会影响， 依据信息系统的重要程度对信息进行划分，不属于正确划分级别的是:</p>
<p>A：'特别重要信息系统</p>
<p>B：'重要信息系统</p>
<p>C：'一般信息系统</p>
<p>D：'关键信息系统</p>
<p>答案：D_我国标准中未定义关键信息系统。</p>
<p>第158题.以下哪项不是应急响应准备阶段应该做的？<br>
A：'确定重要资产和风险，实施针对风险的防护措施</p>
<p>B：'编制和管理应急响应计划</p>
<p>C：'建立和训练应急响应组织和准备相关的资源</p>
<p>D：'评估事件的影响范围，增强审计功能、备份完整系统</p>
<p>答案：D_D描述的是安全事件发生以后，不是应急响应的准备。</p>
<p>第159题.关于秘钥管理，下列说法错误的是:</p>
<p>A：'科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于秘钥的安全性</p>
<p>B：'保密通信过程中，通信方使用之前用过的会话秘钥建立会话，不影响通信安全</p>
<p>C：'秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节</p>
<p>D：'在网络通信中。通信双方可利用 Diffie-He11man 协议协商出会话秘钥</p>
<p>答案：B_通信方使用之前用过的会话秘钥建立会话，会影响通信安全。</p>
<p>第160题.以下属于哪一种认证实现方式：用户登录时，认证服务器（Authentication Server，AS) 产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，并发送给 AS,AS 用同样的方法计算后，验证比较两个口令即可验证用户身份<br>
A：'口令序列</p>
<p>B：'时间同步</p>
<p>C：'挑战/应答</p>
<p>D：'静态口令</p>
<p>答案：C_</p>
<p>第161题.部署互联网协议安全虚拟专用网（Internet protocol Security Virtual Private Network,IPsec VPN）时，以下说法正确的是:</p>
<p>A：'配置 MD5 安全算法可以提供可靠的数据加密</p>
<p>B：'配置 AES 算法可以提供可靠的数据完整性验证</p>
<p>C：'部署 IPsec VPN 网络时，需要考虑 IP 地址的规划，尽量在分支节点使用可以聚合的 IP 地址段，来减少 IPsec 安全关联（Security Authentication,SA ）资源的消耗</p>
<p>D：'报文验证头协议（Authentication Header,AH）可以提供数据机密性</p>
<p>答案：C_A错误，MD5提供完整性；B错误，AES提供的保密性；D错误，AH协议提供完整性、验证及抗重放攻击。</p>
<p>第162题.在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题:</p>
<p>A：'SSH</p>
<p>B：'HTTP</p>
<p>C：'FTP</p>
<p>D：'SMTP</p>
<p>答案：A_SSH具备数据加密保护的功能。</p>
<p>第163题.某单位发生的管理员小张在繁忙的工作中接到了一个电话，来电者：小张吗？我是科技处的李强，我的邮箱密码忘记了，现在打不开邮件，我着急收割邮件，麻烦腻先帮我把密码改成１２３，我收完邮件自己修改掉密码。热心的小张很快的满足了来电者的要求， 随后， 李强发现邮箱系统登陆异常，请问下列说法哪个是正确的<br>
A：'小张服务态度不好，如果把李强的邮件收下来亲自交给李强就不会发生这个问题</p>
<p>B：'事件属于服务器故障，是偶然事件，应向单位领导申请购买新的服务器</p>
<p>C：'单位缺乏良好的密码修改操作流程或小张没按照操作流程工作</p>
<p>D：'事件属于邮件系统故障，是偶然事件，应向单位领导申请邮件服务软件</p>
<p>答案：C_该题目考点为信息安全措施的操作安全，要求一切操作均有流程。</p>
<p>第164题.以下哪个属性不会出现在防火墙的访问控制策略配置中？<br>
A：'本局域网内地址</p>
<p>B：'百度服务器地址</p>
<p>C：'HTTP 协议</p>
<p>D：'病毒类型</p>
<p>答案：D_病毒类型不会出现在防火墙的访问控制策略中。</p>
<p>第165题.S 公司在全国有 20 个分支机构，总部由 10 台服务器、200 个用户终端，每个分支机构都有一台服务器、100 个左右用户终端，通过专网进行互联互通。公司招标的网络设计方案中，四家集成商给出了各自的 IP 地址规划和分配的方法，作为评标专家，请给 5 公司选出设计最合理的一个:<br>
A：'总部使用服务器、用户终端统一使用 10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x---192.168.20.x</p>
<p>B：'总部服务器使用 10.0.1.1—11、用户终端使用 10.0.1.12—212 ，分支机构 IP 地址随意确定即可</p>
<p>C：'总部服务器使用 10.0.1.x 、用户端根据部门划分使用 10.0.2.x ，每个分支机构分配两个 A 类地址段，一个用做服务器地址段、另外一个做用户终端地址段</p>
<p>D：'因为通过互联网连接，访问的是互联网地址，内部地址经 NAT 映射，因此 IP 地址无需特别规划，各机构自行决定即可</p>
<p>答案：C_答案为C，考核的是IP地址规划的体系化。</p>
<p>第166题.windows 文件系统权限管理使用访问控制列表（Access Control List.ACL）机制，以下哪个说法是错误的:</p>
<p>A：'安装 Windows 系统时要确保文件格式适用的是 NTFS. 因为 Windows 的 ACL 机制需要 NTFS 文件格式的支持</p>
<p>B：'由于 Windows 操作系统自身有大量文件和目录，因此很难对每个文件和目录设置严格的访问权限，为了使用上的便利,Windows 上的 ACL 存在默认设置安全性不高的问题</p>
<p>C：'indows 的 ACL 机制中，文件和文件夹的权限是主体进行关联的，即文件夹和文件的访问权限信息是写在用户数据库中的</p>
<p>D：'由于 ACL 具有很好灵活性，在实际使用中可以为每一个文件设定独立拥护的权限</p>
<p>答案：C_Windows的ACL机制中，文件和文件夹的权限是客体关联的，即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。</p>
<p>第167题.某 linux 系统由于 root 口令过于简单，被攻击者猜解后获得了 root 口令，发现被攻击后， 管理员更改了 root 口令，并请安全专家对系统进行检测，在系统中发现有一个文件的权限 如下 -r-s--x--x 1 test tdst 10704 apr 15 2002/home/test/sh 请问以下描述哪个是正确的:</p>
<p>A：'该文件是一个正常文件，test 用户使用的 shell,test 不能读该文件，只能执行</p>
<p>B：'该文件是一个正常文件，是 test 用户使用的 shell,但 test 用户无权执行该文件</p>
<p>C：'该文件是一个后门程序，该文件被执行时，运行身份是 root ,test 用户间接获得了 root 权</p>
<p>D：'该文件是一个后门程序，由于所有者是 test，因此运行这个文件时文件执行权限为test</p>
<p>答案：C_根据题干则答案为C。字段里加S就是设置了SUID位，任何用户在执行passwd程序时就具有root</p>
<p>第168题.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的 IP 地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:<br>
A：'网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增大，产生此安全问题</p>
<p>B：'网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增大， 产生此问题</p>
<p>C：'网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增大，产生此安全问题</p>
<p>D：'网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题</p>
<p>答案：D_设计时提供了用户快捷登录功能，导致大量用户账号被盗用。则答案为D。</p>
<p>第169题.微软提出了 STRIDE 模型，其中 R 是 Repudiation(抵赖)的缩写，此项错误的是（）<br>
A：'某用户在登录系统并下载数据后，却声称“我没有下载过数据"软件系统中的这种威胁就属于R威胁</p>
<p>B：'解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施</p>
<p>C：'R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高</p>
<p>D：'解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行</p>
<p>答案：C_</p>
<p>第170题.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能， 同时用户口令使用 SHA-1 算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则:</p>
<p>A：'最小特权原则</p>
<p>B：'职责分离原则</p>
<p>C：'纵深防御原则</p>
<p>D：'最少共享机制原则</p>
<p>答案：C_题目描述的是软件开发的深度防御思想应用。</p>
<p>第171题.以下关于威胁建模流程步骤说法不正确的是<br>
A：'威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁</p>
<p>B：'评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险</p>
<p>C：'消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁</p>
<p>D：'识别威胁是发现组件或进程存在的威胁，它可能是恶意的，威胁就是漏洞</p>
<p>答案：D_威胁就是漏洞是错误的。</p>
<p>第172题.为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是:</p>
<p>A：'由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据</p>
<p>B：'渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况</p>
<p>C：'渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤</p>
<p>D：'为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试</p>
<p>答案：D_工作中不应该在系统正常业务运行高峰期进行渗透测试。</p>
<p>第173题.某政府机构拟建设一机房，在工程安全监理单位参与下制定了招标文件，项目分二期，一期目标为年内实现系统上线运营，二期目标为次年上半年完成运行系统风险的处理：招标文件经营管理层审批后发布，就此工程项目而言，以下正确的是:</p>
<p>A：'此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施，具有合理性和可行性</p>
<p>B：'在工程安全监理的参与下，确保了此招标文件的合理性</p>
<p>C：'工程规划不符合信息安全工程的基本原则</p>
<p>D：'招标文件经营管理层审批，表明工程目标符合业务发展规划</p>
<p>答案：C_题目描述不不符合信息安全工程的基本原则。</p>
<p>第174题.有关系统工程的特点，以下错误的是:</p>
<p>A：'系统工程研究问题一般采用先决定整体框架，后进入详细设计的程序</p>
<p>B：'系统工程的基本特点，是需要把研究对象解构为多个组成部分分别独立研究</p>
<p>C：'系统工程研究强调多学科协作，根据研究问题涉及到的学科和专业范围，组成一个知识结构合理的专家体系</p>
<p>D：'系统工程研究是以系统思想为指导，采取的理论和方法是综合集成各学科、各领域的理论和方法</p>
<p>答案：B_</p>
<p>第175题.有关能力成熟度模型（CMM）错误的理解是<br>
A：'CMM 的基本思想是，因为问题是由技术落后引起的，所以新技术的运用会在一定程度上提高质量、生产率和利润</p>
<p>B：'CMM 的思想来源于项目管理和质量管理</p>
<p>C：'CMM 是一种衡量工程实施能力的方法，是一种面向工程过程的方法</p>
<p>D：'CMM 是建立在统计过程控制理论基础上的，它基于这样一个假设，即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”</p>
<p>答案：A_CMM的产生是因为过程控制和管理落后引起的。</p>
<p>第176题.提高阿帕奇系统(Apache HTTP Server)系统安全性时，下面哪项措施不属于安全配置（）<br>
A：'不在 Windows 下安装 Apache，只在 Linux 和 Unix 下安装</p>
<p>B：'安装 Apache 时，只安装需要的组件模块</p>
<p>C：'不使用操作系统管理员用户身份运行 Apache，而是采用权限受限的专用用户账号来运行</p>
<p>D：'、积极了解 Apache 的安全通告，并及时下载和更新</p>
<p>答案：A_A不属于安全配置，而属于部署环境选择。</p>
<p>第177题.某公司开发了一个游戏网站，但是由于网站软件存在漏洞，在网络中传输大数据包时总是会丢失一些数据，如一次性传输大于 2000 个字节数据时，总是会有 3 到 5 个字节不能传送到对方，关于此案例，可以推断的是（）<br>
A：'该网站软件存在保密性方面安全问题</p>
<p>B：'该网站软件存在完整性方面安全问题</p>
<p>C：'该网站软件存在可用性方面安全问题</p>
<p>D：'该网站软件存在不可否认性方面安全问题</p>
<p>答案：B_题干描述的是完整性。</p>
<p>第178题.信息安全保障是网络时代各国维护国家安全和利益的首要任务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。<br>
A：'中国</p>
<p>B：'俄罗斯</p>
<p>C：'美国</p>
<p>D：'英国</p>
<p>答案：C_</p>
<p>第179题.我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关于我国信息安全实践工作，下面说法错误的是（）<br>
A：'加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准</p>
<p>B：'重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展</p>
<p>C：'推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性</p>
<p>D：'实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍</p>
<p>答案：B_工业和信息化部牵头成立“国家网络应急中心”。</p>
<p>第180题.为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）<br>
A：'信息安全需求是安全方案设计和安全措施实施的依据</p>
<p>B：'信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求</p>
<p>C：'信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到</p>
<p>D：'信息安全需求来自于该公众服务信息系统的功能设计方案</p>
<p>答案：D_信息安全需求来自于法律法规标准符合性要求、业务发展要求、风险评估结果。</p>
<p>第181题.下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？<br>
A：'《关于加强政府信息系统安全和保密管理工作的通知》</p>
<p>B：'《中华人民共和国计算机信息系统安全保护条例》</p>
<p>C：'《国家信息化领导小组关于加强信息安全保障工作的意见》</p>
<p>D：'《关于开展信息安全风险评估工作的意见》</p>
<p>答案：C_《国家信息化领导小组关于加强信息安全保障工作的意见》规定了信息安全工作的原则，例如立足国情、以我为主、坚持技管并重等。</p>
<p>第182题.在以下标准中，属于推荐性国家标准的是？<br>
A：'GB/T XXXX.X-200X</p>
<p>B：'GB XXXX-200X</p>
<p>C：'DBXX/T XXX-200X</p>
<p>D：'GB/Z XXX-XXX-200X</p>
<p>答案：A_A为推荐标准；B为强制标准；C为地方标准；D为指导标准。</p>
<p>第183题.微软slm将软件开发生命周期制分为七个阶段，并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于（）的安全活动<br>
A：'要求阶段</p>
<p>B：'设计阶段</p>
<p>C：'实施阶段</p>
<p>D：'验证阶段</p>
<p>答案：C_弃用不安全的函数为编码实施阶段。</p>
<p>第184题.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）<br>
A：'要求所有的开发人员参加软件安全开发知识培训</p>
<p>B：'要求增加软件源代码审核环节，加强对软件代码的安全性审查</p>
<p>C：'要求统一采用 Windows8 系统进行开发，不能采用之前的 Windows 版本</p>
<p>D：'要求邀请专业队伍进行第三方安全性测试，尽量从多角度发现软件安全问题</p>
<p>答案：C_统一采用Windows8系统对软件安全无帮助。</p>
<p>第185题.金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的惯:</p>
<p>A：'在使用网络浏览器时，设置不在计算机中保留网络历史纪录和表单数据</p>
<p>B：'为计算机安装具有良好声誉的安全防护软件，包括病毒查杀，安全检查和安全加固方面的软件</p>
<p>C：'在 IE 的配置中，设置只能下载和安装经过签名的，安全的 ActiveX 控件</p>
<p>D：'使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件，应用软件进行升级</p>
<p>答案：D_</p>
<p>第186题.<br>
关于源代码审核，描述正确的是（）</p>
<p>A：'源代码审核过程遵循信息安全保障技术框架模型(IATF)，在执行时应一步一步严格执行</p>
<p>B：'源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具</p>
<p>C：'源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断</p>
<p>D：'源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试</p>
<p>答案：B_A错误，因为IATF不用于代码审核；C错误，因为人工和工具相结合；D错误，安全测试由需求确定。</p>
<p>第187题.软件工程方法提出起源于软件危机,而其目的应该是最终解决软件的问题的是（ ）<br>
A：'质量保证</p>
<p>B：'生产危机</p>
<p>C：'生产工程化</p>
<p>D：'开发效率</p>
<p>答案：C_参考什么是软件工程方法学的概念，软件工程是技术和管理紧密结合所形成的工程学科，通过计划、组织和控制等一系列的活动，合理地配置和使用各种资源，以达到既定目标的过程，软件工程方法学三要素（方法、过程、工具），软件工程方法学类型，传统方法学和面向对象的方法学。找四个选项：生产工程化、软件安全、软件质量、开发效率。</p>
<p>第188题.由于病毒攻击、非法入侵等原因,校园网整体瘫_,或者校园网络中心全部DNS 主WEB 服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件( )<br>
A：'特别重大事件</p>
<p>B：'重大事件</p>
<p>C：'较大事件</p>
<p>D：'一般事件</p>
<p>答案：D_</p>
<p>第189题.微软提出了 STRIDE 模型，其中 R 是 Repudiation(抵赖)的缩写，此项错误的是（）<br>
A：'某用户在登录系统并下载数据后，却声称“我没有下载过数据"软件 R 威胁</p>
<p>B：'某用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于 R 威胁</p>
<p>C：'对于 R 威胁，可以选择使用如强认证、数字签名、安全审计等技术</p>
<p>D：'对于 R 威胁，可以选择使用如隐私保护、过滤、流量控制等技术</p>
<p>答案：D_R-抵赖是无法通过过滤、流控和隐私保护实现的，R-抵赖的实现方式包括数字签名、安全审计、公证。</p>
<p>第190题.某单位开发一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析，模糊测试等软件测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试， 模糊测试的优势给领导做决策，以下哪条是渗透性的优势？<br>
A：'渗透测试使用人工进行测试，不依赖软件，因此测试更准确</p>
<p>B：'渗透测试是用软件代替人工的一种测试方法。因此测试效率更高</p>
<p>C：'渗透测试以攻击者思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞</p>
<p>D：'渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多</p>
<p>答案：C_C是渗透测试的优点。</p>
<p>第191题.以下关于软件安全测试说法正确的是（）<br>
A：'软件安全测试就是黑盒测试</p>
<p>B：'FUZZ 测试是经常采用的安全测试方法之一</p>
<p>C：'软件安全测试关注的是软件的功能</p>
<p>D：'软件安全测试可以发现软件中产生的所有安全问题</p>
<p>答案：B_</p>
<p>第192题.<br>
在工程实验阶段，监理机构依据承建合同，安全设计方案，实施方案，实施录国家或地方相关标准和技术指导文件，对信息化工程进行安全_______检查，以验证目是否实现了项目设计目标和安全等级要求</p>
<p>A：'功能性</p>
<p>B：'可用性</p>
<p>C：'保障性</p>
<p>D：'符合性</p>
<p>答案：D_</p>
<p>第193题.<br>
信息安全工程作为信息安全保障的重要组成部分，主要是为了解决:</p>
<p>A：'信息系统的技术架构安全问题</p>
<p>B：'信息系统组成部门的组件安全问题</p>
<p>C：'信息系统生命周期的过程安全问题</p>
<p>D：'信息系统运行维护的安全管理问题</p>
<p>答案：C_</p>
<p>第194题.有关系统安全工程-能力成熟度模型（SSE-CMM)中基本实施（Base Practice）正确的理解是:</p>
<p>A：'BP 不限定于特定的方法工具，不同业务背景中可以使用不同的方法</p>
<p>B：'BP 不是根据广泛的现有资料，实施和专家意见综合得出的</p>
<p>C：'BP 不代表信息安全工程领域的最佳实践</p>
<p>D：'BP 不是过程区域（Process Areas，PA )的强制项</p>
<p>答案：A_BP属于安全工程的最小单元，其不限定于特定的方法工具，不同业务背景中可以使用不同的方法；是根据广泛的现有资料，实施和专家意见综合得出的；代表着信息安全工程领域的最佳实践；并且是过程区域（ProcessAreas，PA)的强制项。</p>
<p>第195题.在使用系统安全工程-能力成熟度模型（SSE-CCM）对一个组织的安全工程能力成熟度进行测量时，有关测量结果，错误的理解是:</p>
<p>A：'如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时，则这个组织在这个过程区域的能力成熟度未达到此级</p>
<p>B：'如果该组织某个过程区域（Process Areas，PA）具备了“定义标准过程”、“执行已定义的过程”两个公共特征，则此过程区域的能力成熟度级别达到 3 级“充分定义级”</p>
<p>C：'如果某个过程区域（Process Areas，PA)包含 4 个基本实施（Base Practices，BP），执行此 PA 时执行了 3 个 BP，则此过程区域的能力成熟度级别为 0</p>
<p>D：'组织在不同的过程区域的能力成熟度可能处于不同的级别上</p>
<p>答案：B_SSE-CMM充分定义级包括三个特征，为“定义标准过程”、“执行已定义的过程”、“安全协调实施”。B答案中只描述了两个公共特征。</p>
<p>第196题.具有行政法律责任强制的安全管理规定和安全制度包括<br>
1&gt;安全事件（包括安全事故）报告制度<br>
2&gt;安全等级保护制度<br>
3&gt;信息系统安全监控<br>
4&gt;安全专用产品销售许可证制度<br>
A：'1，2，4</p>
<p>B：'2，3</p>
<p>C：'2，3, 4</p>
<p>D：'1，2, 3</p>
<p>答案：A_1\2\4均为管理规定和安全制度。</p>
<p>第197题.某单位在实施风险评估时，按照规范形成了若干文档，其中，（）中的文档应属于风险评估中“风险要素识别”阶段输出的文档<br>
A：'《风险评估办法》，主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容</p>
<p>B：'《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具能内容</p>
<p>C：'《风险评估准则要求》，主要包括现有风险评估参考标准、采用的风险分析方法、资产分类标准等内容</p>
<p>D：'《已有安全措施列表》，主要经验检查确认后的已有技术和管理方面安全措施等内容</p>
<p>答案：D_</p>
<p>第198题.层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系，也 ISMS 建设的成果之一，通常将 ISMS 的文档结构规划为 4 层金字塔结构，那么，以下选项（）应放入到一级文件中.<br>
A：'《风险评估报告》</p>
<p>B：'《人力资源安全管理规定》</p>
<p>C：'《ISMS 内部审核计划》</p>
<p>D：'《单位信息安全方针》</p>
<p>答案：D_正确答案为D。一级文件中一般为安全方针、策略文件；二级文件中一般为管理规范制度；三级文件一般为操作手册和流程；四级文件一般表单和管理记录。</p>
<p>第199题.信息安全管理体系（Information Security Management System ,ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述的错误是<br>
A：'内部审核和管理评审都很重要，都是促进 ISMS 持续改进的重要动力，也都应当按照一定的周期实施</p>
<p>B：'内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议形式进行</p>
<p>C：'内部审核的实施主体组织内部的 ISMS 内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构</p>
<p>D：'组织的信息安全方针、信息安全目标和有关 ISMS 文件等，在内部审核中作为审核标准使用，但在管理评审总，这些文件时被审对象</p>
<p>答案：C_管理评审的实施主体由用户的管理者来进行选择。</p>
<p>第200题.信息安全管理体系（information Security Management System.简称 ISMS）的实施和运行 ISMS 阶段，是 ISMS 过程模型的实施阶段（Do），下面给出了一些备选的活动，选项（）描述了在此阶段组织应进行的活动。<br>
①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划<br>
⑤管理ISMS 的运行⑥管理ISMS 的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估<br>
A：'①②③④⑤⑥</p>
<p>B：'①②③④⑤⑥⑦</p>
<p>C：'①②③④⑤⑥⑦⑧</p>
<p>D：'①②③④⑤⑥⑦⑧⑨</p>
<p>答案：B_管理体系包括PDCA（Plan-Do-Check-Act）四个阶段，题干中1-7的工作都属于管理体系的实施阶段（D-Do），而8和9属于检查阶段（C-Check）。</p>
<p>第201题.在实施信息安全风险评估时，需要对资产的价值进行识别、分类和赋值，关于资产价值的评估，以下选项中正确的是（）<br>
A：'资产的价值指采购费用</p>
<p>B：'资产的价值指维护费用</p>
<p>C：'资产的价值与其重要性密切相关</p>
<p>D：'资产的价值无法估计</p>
<p>答案：C_</p>
<p>第202题.<br>
小陈自学了信息安全风险评估的相关理论知识后，根据风险分析阶段的工作内容和计量方法只是，绘制了如下四张图，图中 F1、F2、F3、F4 分别代表某种计算函数，四组图中， 计算关系表达正确的是（）<img alt="" src="./index_files/15820908751914.png" style="width: 312px; height: 352px;"></p>
<p>A：'</p>
<p>B：'</p>
<p>C：'</p>
<p>D：'</p>
<p>答案：A_安全事件发生的可能性与威胁出现的频率和脆弱性的严重程度有关。安全事件的损失与脆弱性的严重程度和资产价值有关。</p>
<p>第203题.某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是（）<br>
A：'软件安全开发生命周期较长，而其中最重要的是要在软件的编码安全措施，就可以解决 90%以上的安全问题</p>
<p>B：'应当尽早在软件开发的需求和设计阶段增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多</p>
<p>C：'和传统的软件开发阶段相比，微软提出的安全开发生命周期（SDL)最大特点是增加了一个专门的安全编码阶段</p>
<p>D：'软件的安全测试也很重要，考试到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要再组织第三方进行安全性测试</p>
<p>答案：B_答案为B。A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL最大的特点是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。</p>
<p>第204题.<br>
某网站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码， 但是在部署时由于管理员将备份存放在 WEB 目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类拟问题，以下那种测试方式是最佳的测试方法。</p>
<p>A：'模糊测试</p>
<p>B：'源代码测试</p>
<p>C：'渗透测试</p>
<p>D：'软件功能测试</p>
<p>答案：C_</p>
<p>第205题.下面哪项属于软件开发安全方面的问题（）<br>
A：'软件部署时所需选用服务性能不高，导致软件执行效率低</p>
<p>B：'应用软件来考虑多线程技术，在对用户服务时按序排队提供服务</p>
<p>C：'应用软件存在 SQL 注入漏洞，若被黑客利用能窃取数据库所用数据</p>
<p>D：'软件受许可证（license）限制，不能在多台电脑上安装</p>
<p>答案：C_ABD与软件安全开发无关。</p>
<p>第206题.为增强 Web 应用程序的安全性，某软件开发经理决定加强 Web 软件安全开发培训，下面哪项内容不在考虑范围内（）<br>
A：'关于网站身份签别技术方面安全知识的培训</p>
<p>B：'针对 OpenSSL 心脏出血漏洞方面安全知识的培训</p>
<p>C：'针对 SQL 注入漏洞的安全编程培训</p>
<p>D：'关于 ARM 系统漏洞挖掘方面安全知识的培训</p>
<p>答案：D_D属于ARM系统，不属于WEB安全领域。</p>
<p>第207题.以下关于 https 协议 http 协议相比的优势说明，那个是正确的:</p>
<p>A：'Https 协议对传输的数据进行加密，可以避免嗅探等攻击行为</p>
<p>B：'Https 使用的端口 http 不同，让攻击者不容易找到端口，具有较高的安全性</p>
<p>C：'Https 协议是 http 协议的补充，不能独立运行，因此需要更高的系统性能</p>
<p>D：'Https 协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的</p>
<p>答案：A_HTTPS具有数据加密机制。</p>
<p>第208题.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，某单位在实施风险评估时，按照规范形成了若干文档，其中，下面（）中的文档应属于风险评估中“风险要素识别”识别阶段输出的文档。<br>
A：'《风险评估办法》，主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容</p>
<p>B：'《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具能内容</p>
<p>C：'《风险评估准则要求》，主要包括现有风险评估参考标准、采用的风险分析方法、资产分类标准等内容</p>
<p>D：'《已有安全措施列表》，主要经验检查确认后的已有技术和管理方面安全措施等内容</p>
<p>答案：D_</p>
<p>第209题.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是（）<br>
A：'定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和缺失量</p>
<p>B：'定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析</p>
<p>C：'定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关</p>
<p>D：'定性风险分析更具主观性，而定量风险分析更具客观性</p>
<p>答案：B_实际工作中根据情况选择定量、定性或定量与定性相结合。</p>
<p>第210题.在信息安全管理的实施过程中，管理者的作用于信息安全管理体系能否成功实施非常重要，但是一下选项中不属于管理者应有职责的是（）<br>
A：'制定并颁发信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领， 明确总体要求</p>
<p>B：'确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量，计划应具体、可事实</p>
<p>C：'向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性</p>
<p>D：'建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评过过程、确保信息安全风险评估技术选择合理、计算正确</p>
<p>答案：D_D不属于管理者的职责。</p>
<p>第211题.<br>
小李去参加单位组织的信息安全管理体系（Information Securlty Management System. ISMS）的理解画了一下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。<img alt="" src="./index_files/15820922045042.png" style="width: 351px; height: 215px;"></p>
<p>A：'监控和反馈ISMS</p>
<p>B：'批准和监督ISMS</p>
<p>C：'监视和评审ISMS</p>
<p>D：'沟通和咨询ISMS</p>
<p>答案：C_管理体系PDCA分别指的阶段是：P-规划建立、D-实施运行、C-监视和评审、A-保持和改进。</p>
<p>第212题.<br>
在某个信息系统实施案例中，A 单位（甲方）允许 B 公司（乙方）在甲方的测试环境中开发和部署业务系统，同时为防范风险，A 单位在和 B 公司签订合同中，制定有关条款，明确了如果由于B 公司操作原因引起的设备损坏，则 B 公司需按价赔偿。可以看出， 该赔偿条款应用了风险管理中（）的风险处置措施。</p>
<p>A：'降低风险</p>
<p>B：'规避风险</p>
<p>C：'转移风险</p>
<p>D：'拒绝风险</p>
<p>答案：C_</p>
<p>第213题.为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。<br>
A：'GB／T 20271-2006《信息系统通用安全技术要求》</p>
<p>B：'GB／T 22240-2008《信息系统安全保护等级定级指南》</p>
<p>C：'GB／T 25070-2010《信息系统等级保护安全设计技术要求》</p>
<p>D：'GB／T 20269-2006《信息系统安全管理要求》</p>
<p>答案：B_</p>
<p><a href="http://xn--214-bt6hn96j.gb/">第214题.GB</a>／T 18336《信息技术安全性评估准则》是测评标准类中的重要标准，该标准定义了评估对象（Targetof Evaluation，TOE）、保护轮廓（Protection Profile，PP）和安全目标（Security Target，ST）等术语。关于安全目标(ST)，下面选项中描述错误的是()。<br>
A：'ST 闸述了安全要求，具体说明了一个既定被评估产品或评估对象的安全功能</p>
<p>B：'ST 包括该TOE的安全要求和用于满足安全要求的特定安全功能和保证措施</p>
<p>C：'ST 对于产品和系统来讲，相当于要求了其安全实现方案</p>
<p>D：'ST 从用户角度描述，代表了用户想要的东西，而不是厂商声称提供的东西</p>
<p>答案：D_</p>
<p>第215题.关于秘钥管理，下列说法错误的是:</p>
<p>A：'科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于秘钥的安全性</p>
<p>B：'保密通信过程中，通信方使用之前用过的会话秘钥建立会话，不影响通信安全</p>
<p>C：'秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节</p>
<p>D：'在网络通信中。通信双方可利用 Diffie-He11man 协议协商出会话秘钥</p>
<p>答案：B_通信方使用之前用过的会话秘钥建立会话，会影响通信安全。</p>
<p>第216题.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别技术相比，关于此种鉴别技术说法不正确的是:</p>
<p>A：'所选择的特征（指纹）便于收集、测量和比较</p>
<p>B：'每个人所拥有的指纹都是独一无二的</p>
<p>C：'指纹信息是每个人独有的，指纹识别系统不存在安全威胁问题</p>
<p>D：'此类系统一般由用户指纹信息采集和指纹信息识别两部分组成</p>
<p>答案：C_指纹识别系统也存在安全威胁问题。</p>
<p>第217题.以下 Windows 系统的账号存储管理机制 SAM（Security Accoumts Manager）的说法哪个是正确的:</p>
<p>A：'存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性</p>
<p>B：'存储在注册表中的账号数据 administrator 账户才有权访问，具有较高的安全性</p>
<p>C：'存储在注册表中的账号数据任何用户都可以直接访问，灵活方便</p>
<p>D：'存储在注册表中的账号数据只有 System 账号才能访问，具有较高的安全性</p>
<p>答案：D_</p>
<p>第218题.数据库的安全很复杂，往往需要考虑多种安全策略，才可以更好地保护数据库的安全。以下关于数据库常用的安全策略理解不正确的是:</p>
<p>A：'最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权， 使得这些信息恰好能够完成用户的工作</p>
<p>B：'最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度地共享数据库中的信息</p>
<p>C：'粒度最小的策略，将数据库中数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度</p>
<p>D：'按内容存取控制策略，不同权限的用户访问数据库的不同部分</p>
<p>答案：C_数据库安全策略有6项：最小特权策略、最大共享策略、粒度适当策略、按内容存取控制策略、开系统和闭系统策略、按存取类型控制策略。粒度适当策略：将数据库中不同的项分成不同的颗粒，颗粒越小，安全级别越高。通常要根据实际决定粒度的大小。</p>
<p>第219题.以下关于 SMTP 和 POP3 协议的说法哪个是错误的<br>
A：'SMTP 和 POP3 协议是一种基于 ASCII 编码的请求/响应模式的协议</p>
<p>B：'SMTP 和 POP3 协议铭文传输数据，因此存在数据泄露的可能</p>
<p>C：'SMTP 和 POP3 协议缺乏严格的用户认证，因此导致了垃圾邮件问题</p>
<p>D：'SMTP 和 POP3 协议由于协议简单，易用性更高，更容易实现远程管理邮件</p>
<p>答案：A_两种协议只提供了账户名和密码的用户认证方式，认证不严格；协议支持使用客户端远程管理在服务器上的电子邮件。</p>
<p>第220题.某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备（）<br>
A：'安全路由器</p>
<p>B：'网络审计系统</p>
<p>C：'网页防篡改系统</p>
<p>D：'虚拟专用网（Virtual Private Network，VPN）系统</p>
<p>答案：C_网页防篡改系统用来防范WEB篡改。</p>
<p>第221题.安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension, S/MIME )是指一种保障邮件安全的技术，下面描述错误的是（）<br>
A：'S/MIME 采用了非对称密码学机制</p>
<p>B：'S/MIME 支持数字证书</p>
<p>C：'S/MIME 采用了邮件防火墙技术</p>
<p>D：'S/MIME 支持用户身份认证和邮件加密</p>
<p>答案：C_S/MIME是邮件安全协议，不是防火墙技术。</p>
<p>第222题.关于恶意代码，以下说法错误的是:</p>
<p>A：'从传播范围来看，恶意代码呈现多平台传播的特征</p>
<p>B：'按照运行平台，恶意代码可以分为网络传播型病毒、文件传播型病毒</p>
<p>C：'不感染的依附性恶意代码无法单独执行</p>
<p>D：'为了对目标系统实施攻击和破坏，传播途径是恶意代码赖以生存和繁殖的基本条件</p>
<p>答案：B_按照运行平台，恶意代码可以分为Windows平台、Linux平台、工业控制系统等。</p>
<p>第223题.<br>
下图是某单位对其主网站的一天访问流量监测图，如果说该网站在当天 17：00 到20：00 间受到了攻击，则从图中数据分析，这种攻击类型最可能属于下面什么攻击（）<img alt="" src="./index_files/15820920299226.png" style="width: 400px; height: 254px;"></p>
<p>A：'跨站脚本（Cross Site Scripting，XSS）攻击</p>
<p>B：'TCP 会话劫持（TCP Hijack）攻击</p>
<p>C：'IP 欺骗攻击</p>
<p>D：'拒绝服务（Denial of Service，DoS）攻击</p>
<p>答案：D_</p>
<p>第224题.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关:</p>
<p>A：'传统的软件开发工程未能充分考虑安全因素</p>
<p>B：'开发人员对信息安全知识掌握不足</p>
<p>C：'相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞</p>
<p>D：'应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞</p>
<p>答案：C_无论高级和低级语言都存在漏洞。</p>
<p>第225题.下面哪个模型和软件安全开发无关（）<br>
A：'微软提出的“安全开发生命周期（Security Development Lifecycle,SDL）”</p>
<p>B：'Gray McGraw 等提出的“使安全成为软件开发必须的部分（Building Security IN， BSI） ”</p>
<p>C：'OWASP 维护的“软件保证成熟度模型（Software Assurance Maturity Mode,SAMM）”</p>
<p>D：'“信息安全保障技术框架（Information Assurance Technical Framework，IATF）”</p>
<p>答案：D_D与软件安全开发无关，ABC均是软件安全开发模型。</p>
<p>第226题.某网站为了开发的便利，使用 SA 链接数据库，由于网站脚本中被发现存在 SQL 注入漏洞，导致攻击者利用内置存储过程 XP.cmctstell 删除了系统中的一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则:</p>
<p>A：'权限分离原则</p>
<p>B：'最小特权原则</p>
<p>C：'保护最薄弱环节的原则</p>
<p>D：'纵深防御的原则</p>
<p>答案：B_SA是数据库最大用户权限，违反了最小特权原则。</p>
<p>第227题.某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是:</p>
<p>A：'模拟正常用户输入行为，生成大量数据包作为测试用例</p>
<p>B：'数据处理点、数据通道的入口点和可信边界点往往不是测试对象</p>
<p>C：'监测和记录输入数据后程序正常运行的情况</p>
<p>D：'深入分析测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析</p>
<p>答案：D_A错误，模糊测试是模拟异常输入；B错误，入口与边界点是测试对象；C模糊测试记录和检测异常运行情况。</p>
<p>第228题.以下关于模糊测试过程的说法正确的是:</p>
<p>A：'模糊测试的效果与覆盖能力，与输入样本选择不相关</p>
<p>B：'为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统可能无法恢复异常状态进行后续的测试</p>
<p>C：'通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需要进一步分析其危害性、影响范围和修复建议</p>
<p>D：'对于可能产生的大量异常报告，需要人工全部分析异常报告</p>
<p>答案：C_C为模糊测试的涵义解释。</p>
<p>第229题.某公司开发了一个游戏网站，但是由于网站软件存在问题，结果在软件上线后被黑客攻击，其数据库中的网游用户真实身份被黑客看到。关于此案例，可以推断的是（）<br>
A：'该网站软件存在保密性方面安全问题</p>
<p>B：'该网站软件存在完整性方面安全问题</p>
<p>C：'该网站软件存在可用性方面安全问题</p>
<p>D：'该网站软件存在不可否认性方面安全问题</p>
<p>答案：A_</p>
<p>第230题.我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是:</p>
<p>A：'2001 国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动</p>
<p>B：'2003 年 7 月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》 （中办发 27 号文），明确了“积极防御、综合防范“的国家信息安全保障方针</p>
<p>C：'2003 年中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段</p>
<p>D：'在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展</p>
<p>答案：C_2006年进入到深化落实阶段。</p>
<p>第231题.信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是:</p>
<p>A：'信息产品安全评估是测评机构的产品的安全性做出的独立评价，增强用户对已评估产品安全的信任</p>
<p>B：'目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型</p>
<p>C：'信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价</p>
<p>D：'信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性， 评估安全事件可能造成的危害程度，提出游针对性的安全防护策略和整改措施</p>
<p>答案：B_测评包括风险评估、保障测评和等级保护测评。</p>
<p>第232题.以下关于安全套接层协议（Secure Sockets Layer,SSL）说法错误的是:</p>
<p>A：'SSL 协议位于TCPAP 协议层和应用协议之间</p>
<p>B：'SSL 协议广泛应用于web 浏览器与服务器之间的身份认证和加密数据传输</p>
<p>C：'SSL 是一种可靠的端到端的安全服务协议</p>
<p>D：'SSL 是设计用来保护操作系统的</p>
<p>答案：D_</p>
<p>第233题.风险评估相关政策,目前主要有( ) (国信办[2006]5 号)。主要内容包括:分析信息系统资产的( ),评估信息系统面临的( )、存在的( )、已有的安全措施和残余风险的影响等、两类信息系统的( )、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。<br>
A：'《关于开展信息安全风险评估工作的意见》；重要程度；安全威胁；脆弱性； 工作开展</p>
<p>B：'《关于开展风险评估工作的意见》;安全威胁；重要程度；脆弱性；工作开展</p>
<p>C：'《关于开展风险评估工作的意见》; 重要程度; 安全威胁; 脆弱性; 工作开展</p>
<p>D：'《关于开展信息安全风险评估工作的意见》脆弱性;重要程度; 安全威胁; 工作开展</p>
<p>答案：A_</p>
<p>第234题.关于 Kerberos 认证协议，以下说法错误的是:</p>
<p>A：'只要用户拿到了认证服务器（AS）发送的票据许可票据（TGT）并且该 TGT 没有过期，就可以使用该 TGT  通过票据授权服务器（TGS）完成到任一个服务器的认证而不必重新输入密码</p>
<p>B：'认证服务器（AS）和票据授权服务器（TGS）是集中式管理，容易形成瓶颈，系统 的性能和安全也严重依赖于 AS 和 TGS 的性能和安全</p>
<p>C：'该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户的单向认证</p>
<p>D：'该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂</p>
<p>答案：C_</p>
<p>第235题.以下哪个选项不是防火墙技术？<br>
A：'IP 地址欺骗防护</p>
<p>B：'NAT</p>
<p>C：'访问控制</p>
<p>D：'SQL 注入攻击防护</p>
<p>答案：D_</p>
<p>第236题.Linux/Unix 关键的日志文件设置的权限应该为<br>
A：'-rw-r--r-</p>
<p>B：'-rw----</p>
<p>C：'-rw-rw-rw-</p>
<p>D：'-r----</p>
<p>答案：B_</p>
<p>第237题.张主任的计算机使用Windows7操作系统，他常登陆的用户名为zhang，张主任给他个人文件夹设置了权限为只有zhang这个用户有权访问这个目录，管理员在某次维护中无意将zhang这个用户删除了，随后又重新建了一个用户名为zhang，张主任使用zhang这个用户登录系统后，发现无法访问他原来的个人文件夹，原因是:</p>
<p>A：'任何一个新建用户都需要经过授权才能访问系统中的文件</p>
<p>B：'Windows7不认为新建立的用户zhang与原来用户zhang是同一个用户，因此无权访问</p>
<p>C：'用户被删除后，该用户创建的文件夹也会自动删除，新建用户找不到原来用户的文件夹，因此无法访问</p>
<p>D：'新建的用户zhang会继承原来用户的权限，之所以无权访问是因为文件夹经过了加密</p>
<p>答案：B_</p>
<p>第238题.口令破解是针对系统进行攻击的常用方法，windows 系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明错误的是<br>
A：'密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控</p>
<p>B：'密码策略对系统中所有的用户都有效</p>
<p>C：'账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统用户应对口令暴力破解攻击</p>
<p>D：'账户锁定策略只适用于普通用户，无法保护管理员 administrator 账户应对口令暴力破解攻击</p>
<p>答案：D_账户锁定策略也适用于administrator账户。</p>
<p>第239题.以下关于账户密码策略中各项策略的作用说明，哪个是错误的:</p>
<p>A：'“密码必须符合复杂性要求”是用于避免用户产生诸如 1234、1111 这样的弱口令</p>
<p>B：'“密码长度最小值”是强制用户使用一定长度以上的密码</p>
<p>C：'“强制密码历史”是强制用户不能再使用曾经使用过的任何密码</p>
<p>D：'“密码最长存留期”是为了避免用户使用密码时间过长而不更户</p>
<p>答案：C_强制密码历史:重新使用旧密码之前，该安全设置确定与某个用户帐户相关的唯一新密码的数量。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能继续使用，从而使管理员能够增强安全性。</p>
<p>第240题.以下SQL 语句建立的数据库对象是： CREATE VIEW PatientsForDoctors AS SWLWCT Patient<br>
FROM Patient*<br>
WHERE doctorlD=123<br>
A：'表</p>
<p>B：'视图</p>
<p>C：'存储过程</p>
<p>D：'触发器</p>
<p>答案：B_</p>
<p>第241题.某政府机构委托开发商开发了一个OA 系统，其中有一个公文分发，公文通知等为WORD 文档，厂商在进行系统设计时使用了 FTP 来对公文进行分发，以下说法不正确的是<br>
A：'FTP 协议明文传输数据，包括用户名和密码，攻击者可能通过会话过程嗅探获得 FTP 密码， 从而威胁 OA 系</p>
<p>B：'FTP 协议需要进行验证才能访问在，攻击者可以利用 FTP 进行口令的暴力破解</p>
<p>C：'FTP 协议已经是不太使用的协议，可能与新版本的浏览器存在 兼容性问题</p>
<p>D：'FTP 应用需要安装服务器端软件，软件存在漏洞可能会影响到 OA 系统的安全</p>
<p>答案：C_</p>
<p>第242题.某公司在互联网区域新建了一个 WEB 网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）<br>
A：'负载均衡设备</p>
<p>B：'网页防篡改系统</p>
<p>C：'网络防病毒系统</p>
<p>D：'网络审计系统</p>
<p>答案：B_</p>
<p>第243题.小陈在某电器城购买了一台冰箱，并留下了个人姓名、电话在和电子邮件地址等信，  第二天他收到了一封来自电器城提示他中奖的邮件上，查看后他按照提示操作，纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有开的活动，根据上面的描述，由此可以推断的是（）<br>
A：'小陈在电器城登记个人信息时，应当使用加密手段</p>
<p>B：'小陈遭受了钓鱼攻击，钱被骗走了</p>
<p>C：'小陈的计算机中了木马，被远程控制</p>
<p>D：'小陈购买的凌波微步是智能凌波微步 ，能够自己上网</p>
<p>答案：B_</p>
<p>第244题.小王在某 WEB 软件公司工作，她在工作中主要负责对互联网信息服务（ Internet information services,iis)软件进行安全配置，这是属于（） 方面的安全工作<br>
A：'WEB 服务支撑软件</p>
<p>B：'WEB 应用程序</p>
<p>C：'WEB 浏览器</p>
<p>D：'通信协议</p>
<p>答案：A_</p>
<p>第245题.在 2014 年巴西世界杯举行期间，一些黑客组织攻击了世界杯赞助商及政府网站，制了大量网络流量，阻塞正常用户访问网站。这种攻击类型属于下面什么攻击（）<br>
A：'跨站脚本（ cross site scripting,XSS)攻击</p>
<p>B：'TCP 会话劫持（ TCP HIJACK)攻击</p>
<p>C：'ip 欺骗攻击</p>
<p>D：'拒绝服务（denialservice.dos）攻击</p>
<p>答案：D_</p>
<p>第246题.以下可能存在sql 注入攻击的部分是<br>
A：'get 请求参数</p>
<p>B：'post 请求参数</p>
<p>C：'cookie 值</p>
<p>D：'以上均有可能</p>
<p>答案：D_</p>
<p>第247题.关于软件安全的问题，下面描述错误的是（）<br>
A：'软件的安全问题可能造成软件运行不稳定，得不到正确结果甚至崩溃</p>
<p>B：'软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决</p>
<p>C：'软件的安全问题可能被攻击者利用后影响人身体健康安全</p>
<p>D：'软件的安全问题是由程序开发者遗留的，和软件的部署运行环境无关</p>
<p>答案：D_</p>
<p>第248题.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）<br>
A：'要求开发人员采用敏捷开发模型进行开发</p>
<p>B：'要求所有开发人员参加软件安全意识培训</p>
<p>C：'要求规范软件编码，并制定公司的安全编码准则</p>
<p>D：'要求增加软件安全测试环节，尽早发现软件安全问题</p>
<p>答案：A_</p>
<p>第249题.关于源代码审核，描述错误的是（）<br>
A：'源代码审核有利于发现软件编码中存在的安全问题</p>
<p>B：'源代码审核工程遵循PDCA 模型</p>
<p>C：'源代码审核方式包括人工审核工具审核</p>
<p>D：'源代码审核工具包括商业工具和开源工具不确定</p>
<p>答案：B_</p>
<p>第250题.关于风险要素识别阶段工作内容叙述错误的是:</p>
<p>A：'资产识别是指对需求保护的资产和系统等进行识别和分类</p>
<p>B：'威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性</p>
<p>C：'脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点， 并对脆弱性的严重程度进行评估</p>
<p>D：'确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台</p>
<p>答案：D_</p>
<p>第251题.信息安全管理体系（information Securlty Management System. 简称ISMS）要求建立过程体系，该过程体系是在如下（）基础上构建的。<br>
A：'IATF（Information Assurance Technical Framework）</p>
<p>B：'P2DR(Policy，Protection，Detection，Response)</p>
<p>C：'PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up）</p>
<p>D：'PDCA（Plan，Do，Check，Act）</p>
<p>答案：D_</p>
<p>第252题.<br>
根据Bell-Iapadula模型安全策略，下图中写和读操作正确的是（）<img alt="" src="./index_files/15820918643045.png" style="width: 400px; height: 100px;"></p>
<p>A：'A、可读可写</p>
<p>B：'<br>
B、可读不可写</p>
<p>C：'<br>
C、可写不可读</p>
<p>D：'<br>
D、不可读不可写</p>
<p>答案：D_</p>
<p>第253题.对系统工程（Systems Engineering，SE）的理解，以下错误的是:</p>
<p>A：'系统工程偏重于对工程的组织与经营管理进行研究</p>
<p>B：'系统工程不属于技术实现，而是一种方法论</p>
<p>C：'系统工程不是一种对所有系统都具有普遍意义的科学方法</p>
<p>D：'系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法</p>
<p>答案：C_系统工程是一种对所有系统都具有普遍意义的科学方法。</p>
<p>第254题.标准是标准化活动的成果，是为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规范性文件。关于标准和标准化，以下选项中理解错误的是（）<br>
A：'标准化是一项活动，标准化工作的主要任务是定标准、组织实施以及对标准的实施进行监督，主要作用是为了预期的目的而改进产品、过程或服务的实用性，防止壁垒，促进合作</p>
<p>B：'标准化的对象不应是孤立的一件事或一个事物，而是共同的、可重复的事物，标准化的工作同时也具有动态性，即应随着科学的发展和社会的进步而不断修订标</p>
<p>C：'标准在国际贸易中有着重要作用，一方面，标准能打破技术壁垒，促进国际间的经贸发展和科 学、技术、文化交流和合作；另一方面，标准也能成为新的技术壁垒，起到限制他国产品出口、保护本国产业的目的</p>
<p>D：'标准有着不同的分类，我国将现有标准分为强制性标准、推荐性标准和事实性标准三类，国家标准管理机构对着三类标准通过采取不同字头的方式分别编号后公开发布</p>
<p>答案：D_</p>
<p>第255题.为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中，（）提出和规定了不同安全保护等级信息系统的最低保护要求，并按照技术和管理两个方面提出了相关基本安全要求<br>
A：'GB／T 20271-2006《信息系统通用安全技术要求》</p>
<p>B：'GB／T 22240-2008《信息系统安全保护等级定级指南》</p>
<p>C：'GB／T 25070-2010《信息系统等级保护安全设计技术要求》</p>
<p>D：'GB／T 20269-2006《信息系统安全管理要求》</p>
<p>答案：B_与224题目选项一致，但是题干问题不一样。故无正确答案，因为选项中没有GB/T22239-2008《信息系统安全等级保护基本要求》</p>
<p>第256题.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求:</p>
<p>A：'国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定</p>
<p>B：'各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级</p>
<p>C：'对是否属于国家机密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门确定</p>
<p>D：'对是否属于国家秘密和属于何种密级不明确的事项。由国家保密工作部门，省、自治区、直辖市的保密工作部门。省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定</p>
<p>答案：C_</p>
<p>第257题.为了进一步提高信息安全的保障能力和防护水平，保障和促进信息化建设的健康发展，公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对等级保护工作的开展提供宏观指导和约束。明确了等级保护工作的基本内容、 工作要求和实施计划，以及各部门工作职责分工等。关于该文件，下面理解正确的是（）<br>
A：'该文件是一个由部委发布的政策性文件，不属于法律文件</p>
<p>B：'该文件适用于2004年的等级保护工作。其内容不能约束到2005年及之后的工作</p>
<p>C：'该文件是一个总体性指导文件，规定了所有信息系统都要纳入等级保护定级范围</p>
<p>D：'该文件适用范围为发文的这四个部门，不适用于其他部门和企业等单位</p>
<p>答案：A_</p>
<p>第258题.关于信息安全管理体系，国际上有标准（ISO/IEC 27001:2013）而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008）请问，这两个标准的关系是:</p>
<p>A：'IDT (等同采用)，此国家标准等同于该国际标准，仅有或没有编辑性修改</p>
<p>B：'EQV(等效采用)，此国家标准不等效于该国际标准</p>
<p>C：'NEQ（非等效采用），此国家标准不等效于该国际标准</p>
<p>D：'没有采用与否的关系，两者之间版本不同，不应该直接比较</p>
<p>答案：D_ISO/IEC27001:2013和GB/T22080-2008是两个不同的版本。国家标准GB/T22080-2008标准等同采用ISO27001:2005《信息安全管理体系要求》</p>
<p>第259题.为了保障网络安全，维护网络安全空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，加强在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，2015 年 6 月，第十二届全国人大常委会第十五次会议初次审议了一部法律草案，并与 7 月 6 日起在网上全文公布， 向社会公开征求意见，这部法律草案是（）<br>
A：'《中华人民共和国保守国家秘密法（草案）》</p>
<p>B：'《中华人民共和国网络安全法（草案）》</p>
<p>C：'《中华人民共和国国家安全法（草案）》</p>
<p>D：'《中华人民共和国互联网安全法（草案）》</p>
<p>答案：B_</p>
<p>第260题.“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被测评对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）<br>
A：'评估对象（TOE）</p>
<p>B：'保护轮廊（PP）</p>
<p>C：'安全目标（ST）</p>
<p>D：'评估保证级（EAL）</p>
<p>答案：C_</p>
<p>第261题.密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法、密码协议也是网络安全的一个重要组成部分。下面描述中，错误的是（）<br>
A：'在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住的执行步骤，有些复杂的步骤可以不明确处理方式</p>
<p>B：'密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行</p>
<p>C：'根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信息的人，也可能是敌人和互相完全不信任的人</p>
<p>D：'密码协议(Crypto graphic protocol) ,有时也称安全协议(security protocol), 是使用密码学完成某项特定的任务并满足安全需求的协议，其末的是提供安全服务</p>
<p>答案：A_密码协议应限制和框住的执行步骤，有些复杂的步骤必须要明确处理方式。</p>
<p>第262题.美国计算机协会（ACM）宣布将 2015 年的 ACM 奖授予给 Whitfield Diffic 和 Wartfield下面哪项工作是他们的贡献（）<br>
A：'发明并第一个使用 C 语言</p>
<p>B：'第一个发表了对称密码算法思想</p>
<p>C：'第一个发表了非对称密码算法思想</p>
<p>D：'第一个研制出防火墙</p>
<p>答案：C_</p>
<p>第263题.分组密码算法是一类十分重要的密码算法，下面描述中，错误的是（）<br>
A：'分组密码算法要求输入明文按组分成固定长度的块</p>
<p>B：'分组密码的算法每次计算得到固定长度的密文输出块</p>
<p>C：'分组密码算法也称作序列密码算法</p>
<p>D：'常见的 DES、IDEA 算法都属于分组密码算法</p>
<p>答案：C_分组密码算法和序列算法是两种算法。</p>
<p>第264题.小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（ ）<br>
A：'访问控制列表（ACL）</p>
<p>B：'能力表（CL）</p>
<p>C：'BLP 模型</p>
<p>D：'Biba 模型</p>
<p>答案：A_</p>
<p>第265题.实体身份鉴别一般依据以下三种基本情况或这三种情况的组合：实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于实体特征的鉴别方法是 （ ）<br>
A：'将登录口令设置为出生日期</p>
<p>B：'通过询问和核对用户的个人隐私信息来鉴别</p>
<p>C：'使用系统定制的、在本系统专用的 IC 卡进行鉴别</p>
<p>D：'通过扫描和识别用户的脸部信息来鉴别</p>
<p>答案：D_</p>
<p>第266题.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是（ ）<br>
A：'从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型</p>
<p>B：'自主访问控制是一种广泛应用的方法，资源的所有者（往往也是创建者）可以规定谁有权访问它们的资源，具有较好的易用性和扩展性</p>
<p>C：'强制访问控制模型要求主题和客体都一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统</p>
<p>D：'基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略</p>
<p>答案：A_</p>
<p>第267题.在信息系统中，访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。下列选项中，对主体、客体和访问权限的描述中错误的是（ ）<br>
A：'对文件进行操作的用户是一种主体</p>
<p>B：'主体可以接受客体的信息和数据，也可能改变客体相关的信息</p>
<p>C：'访问权限是指主体对客体所允许的操作</p>
<p>D：'对目录的访问权可分为读、写和拒绝访问</p>
<p>答案：D_</p>
<p>第268题.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如 BLP、Biba、Clark-Willson 和ChinescWall 等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4 种对BLP 模型的描述中，正确的是（）<br>
A：'BLP模型用于保证信息系统的机密性，规则是“向上读，向下写”</p>
<p>B：'BLP模型用于保证信息系统的机密性，规则是“向下读，向上写”</p>
<p>C：'BLP模型用于保证信息系统的完整性，规则是“向上读，向下写”</p>
<p>D：'BLP模型用于保证信息系统的完整性，规则是“向下读，向上写”</p>
<p>答案：B_</p>
<p>第269题.关于 Wi-Fi 联盟提出的安全协议 WPA 和 WPA2 的区别，下面描述正确的是（）<br>
A：'WPA 是有线局域安全协议，而 WPA2 是无线局域网协议</p>
<p>B：'WPA 是适用于中国的无线局域安全协议，而 WPA2 适用于全世界的无线局域网协议</p>
<p>C：'WPA 没有使用密码算法对接入进行认证，而 WPA2 使用了密码算法对接入进行认证</p>
<p>D：'WPA 是依照 802.11i 标准草案制定的，而 WPA2 是依照 802.11i 正式标准制定的</p>
<p>答案：D_</p>
<p>第270题.随着高校业务资源逐渐向数据中心高度集中，Web 成为一种普适平台，上面承载了越来越多的核心业务。Web  的开放性带来丰富资源、高效率、新工作方式的同时，也使机构的重要信息暴露在越来越多的威胁中。去年，某个本科生院网站遭遇 SQL 群注入（Mass SQL  Injection）攻击，网站发布的重要信息被篡改成为大量签名，所以该校在某信息安全公司的建议下配置了状态检测防火墙，其原因不包括（ ）<br>
A：'状态检测防火墙可以应用会话信息决定过滤规则</p>
<p>B：'状态检测防火墙具有记录通过每个包的详细信息能力</p>
<p>C：'状态检测防火墙过滤规则与应用层无关，相比于包过滤防火墙更易安装和使用</p>
<p>D：'状态检测防火墙结合网络配置和安全规定做出接纳、拒绝、身份认证或报警等处理动作</p>
<p>答案：C_</p>
<p>第271题.入侵检测系统有其技术优越性，但也有其局限性，下列说法错误（）<br>
A：'对用户知识要求高、配置、操作和管理使用过于简单，容易遭到攻击</p>
<p>B：'入侵检测系统会产生大量的警告消息和可疑的入侵行为记录，用户处理负担很重</p>
<p>C：'入侵检测系统在应对自身攻击时，对其他数据的检测可能会被抑制或者受到影响</p>
<p>D：'警告消息记录如果不完整，可能无法与入侵行为关联</p>
<p>答案：A_</p>
<p>第272题.某集团公司的计算机网络中心内具有公司最重要的设备和信息数据。网络曾在一段时间内依然遭受了几次不小的破坏和干扰，虽然有防火墙，但系统管理人员也未找到真正的事发原因。某网络安全公司为该集团部署基于网络的入侵检测系统（NIDS），将<br>
IDS 部署在防火墙后，以进行二次防御。那么 NIDS 不会在（）区域部署<br>
A：'DMZ</p>
<p>B：'内网主干</p>
<p>C：'内网关键子网</p>
<p>D：'外网入口</p>
<p>答案：D_</p>
<p>第273题.Linux 系统中常用数字来表示文件的访问权限，假设某文件的访问限制使用了 755 来表示，则下面哪项是正确的（）<br>
A：'这个文件可以被任何用户读和写</p>
<p>B：'这个可以被任何用户读和执行</p>
<p>C：'这个文件可以被任何用户写和执行</p>
<p>D：'这个文件不可以被所有用户写和执行</p>
<p>答案：B_</p>
<p>第274题.操作系统用于管理计算机资源，控制整个系统运行，是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机，开机后首先对自带的 Windows 操作系统进行配置。他的主要操作有：（1）关闭不必要的服务和端口；（2）在“在本地安全策略”重配置账号策略、本地策略、公钥策略和 IP 安全策略；（3）备份敏感文件，禁止建立空连接，下载最新补丁；（4）关闭审核策略，开启口令策略，开启账号策略。这些操作中错误的 是（）<br>
A：'操作（1），应该关闭不必要的服务和所有端口</p>
<p>B：'操作（2），在“本地安全策略”中不应该配置公钥策略，而应该配置私钥策略</p>
<p>C：'操作（3），备份敏感文件会导致这些文件遭到窃取的几率增加</p>
<p>D：'操作（4），应该开启审核策略</p>
<p>答案：D_</p>
<p>第275题.安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域，下面哪项描述是错误的（）<br>
A：'安全域划分主要以业务需求、功能需求和安全需求为依据，和网络、设备的物理部署位置无关</p>
<p>B：'安全域划分能把一个大规模复杂系统的安全问题，化解为更小区域的安全保<br>
护问题</p>
<p>C：'以安全域为基础，可以确定该区域的信息系统安全保护等级和防护手段，从而使同一安全域内的资产实施统一的保护</p>
<p>D：'安全域边界是安全事件发生时的抑制点，以安全域为基础，可以对网络和系统进行安全检查和评估，因此安全域划分和保护也是网络防攻击的有效防护方式</p>
<p>答案：A_</p>
<p>第276题.在 Windows 系统中，存在默认共享功能，方便了局域网用户使用，但对个人用户来说存安全风险。如果电脑联网，网络上的任何人都可以通过共享使用或修改文件。小刘在装有 Windows XP 系统的计算机上进行安全设置时，需要关闭默认共享。下列选项中，不能关闭默认共享的操作是（）<br>
A：'将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserv<br>
er\paraneters”项中的“Autodisconnect”项键值改为 0</p>
<p>B：'将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserv<br>
er\paraneters”项中的“AutoShareServer”项键值改为 0</p>
<p>C：'将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lenmanserv<br>
er\paraneters”项中的“AutoShareWks”项键值改为 0</p>
<p>D：'在命令窗口中输入命令，删除 C 盘默认共享：net share C /del</p>
<p>答案：A_</p>
<p>第277题.<br>
小王是某通信运营商公司的网络安全架构师，为该公司推出的一项新型通信系统项目做安全架构规划，项目客户要求对他们的大型电子商务网络进行安全域的划分，化解为小区域的安全保护，每个逻辑区域有各自的安全访问控制和边界控制策略，以实现大规模电子商务系统的信息保护。小王对信息系统安全域（保护对象）的划分不需要考虑的是（）</p>
<p>A：'业务系统逻辑和应用关联性，业务系统是否需要对外连接</p>
<p>B：'安全要求的相似性，可用性、保密性和完整性的要求是否类似</p>
<p>C：'现有网络结构的状况，包括现有网路、地域和机房等</p>
<p>D：'数据库的安全维护</p>
<p>答案：D_</p>
<p>第278题.在Windos7 中，通过控制面板（管理工具——本地安全策略——安全设置——账户策略）可以进入操作系统的密码策略设置界面，下面哪项内容不能在该界面进行设置（）<br>
A：'密码必须符合复杂性要求</p>
<p>B：'密码历史</p>
<p>C：'强制长度最小值</p>
<p>D：'账号锁定时间</p>
<p>答案：D_</p>
<p>第279题.关系数据库的完整性规则是数据库设计的重要内容，下面关于“实体完整性”的描述正确的是（）<br>
A：'指数据表中列的完整性，主要用于保证操作的数据（记录）完整、不丢项</p>
<p>B：'指数据表中行的完整性，主要用于保证操作的数据（记录）非空、唯一且不重复</p>
<p>C：'指数据表中列必须满足某种特定的数据类型或约束，比如取值范围、数值精度等约束</p>
<p>D：'指数据表中行必须满足某种特定的数据姓雷或约束，比如在更新、插入或删除记录时，更将关联有关的记录一并处理才可以</p>
<p>答案：B_</p>
<p>第280题.从 Linux 内核 2.1 版开始，实现了基于权能的特权管理机制，实现了超级用户的特权分割，打破了 UNIX/LINUX 操作系统中超级用户/普通用户的概念，提高了操作系统的安全性。下列选项中，对特权管理机制的理解错误的是（）<br>
A：'普通用户及其 shell 没有任何权能，而超级用户及其 shell 在系统启动之初拥有全部权能</p>
<p>B：'系统管理员可以剥夺和恢复超级用户的某些权能</p>
<p>C：'进程可以放弃自己的某些权能</p>
<p>D：'当普通用户的某些操作涉及特权操作时，仍然通过 setuid 实现</p>
<p>答案：B_</p>
<p>第281题.下面对“零日（ｚｅｒｏ－ｄａｙ）漏洞”的理解中，正确的是（）<br>
A：'指一个特定的漏洞，该漏洞每年１月１日零点发作，可以被攻击者用来远程攻击，获取主机权限</p>
<p>B：'指一个特定的漏洞，特指在２０１０年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施</p>
<p>C：'指一类漏洞，即特别好被利用，一旦成功利用该类漏洞，可以在１天内文完成攻击， 且成功达到攻击目标</p>
<p>D：'指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未公开、还不存在安全补丁的漏洞都是零日漏洞</p>
<p>答案：D_D是零日漏洞的解释。</p>
<p>第282题.关于数据库恢复技术，下列说法不正确的是:</p>
<p>A：'数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复</p>
<p>B：'数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术</p>
<p>C：'日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复</p>
<p>D：'计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交</p>
<p>答案：D_利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为回滚</p>
<p>第283题.Apache HTTP Server（简称 Apache）是一个开放源码的 Web 服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发，为隐藏这些信息，应当采取以下哪种措施（）<br>
A：'不选择 Windows 平台，应选择在 Linux 平台下安装使用</p>
<p>B：'安装后，修改配置文件 http<br>
D.conf 中的有关参数</p>
<p>C：'安装后，删除 Apsche HTTP Server 源码</p>
<p>D：'从正确的官方网站下载 Apeche HTTP Server，并安装使用</p>
<p>答案：B_</p>
<p>第284题.Internet Explorer，简称 IE，是微软公司推出的一款 Web 浏览器，IE 中有很多安全设置选项，用来设置安全上网环境和保护用户隐私数据。以下哪项不是 IE 中的安全配置项目（）<br>
A：'设置 Cookie 安全，允许用户根据自己安全策略要求者、设置 Cookie 策略， 包括从阻止所有 Cookie 到接受所有 Cookie，用户也可以选择删除已经保存过的 Cookie</p>
<p>B：'禁用自动完成和密码记忆功能，通过设置禁止 IE 自动记忆用户输入过的 Web 地址和表单，也禁止 IE 自动记忆表单中的用户名和口令信息</p>
<p>C：'设置每个连接的最大请求数，修改 MuKeepA;ivEcquests，如果同时请求数达到阈值就不再响应新的请求，从而保证了系统资源不会被某个链接大量占用</p>
<p>D：'为网站设置适当的浏览器安全级别，用户可以将各个不同的网站划分到<br>
Internet、本地 Internet、受信任的站点、受限制的站点等不同安全区域中， 以采取不同的安全访问策略</p>
<p>答案：C_</p>
<p>第285题.下面有关软件安全问题的描述中，哪项不是由于软件设计缺陷引起的（）<br>
A：'设计了用户权限分级机制和最小特权原则，导致软件在发布运行后，系统管理员不能查看系统审计信息</p>
<p>B：'设计了采用不加盐（SALT）的 SHA-1 算法对用户口令进行加密存储，导致软件在发布运行后，不同的用户如使用了相同的口令会得到相同的加密结果， 从而可以假冒其他用户登录</p>
<p>C：'设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后， 被黑客攻击获取到用户隐私数据</p>
<p>D：'设计了采用自行设计的加密算法对网络传输数据进行保护，导致软件在发布运行后，被攻击对手截获网络数据并破解后得到明文</p>
<p>答案：A_</p>
<p>第286题.为达到预期的攻击目的，恶意代码通常会被采用各种方法将自己隐藏起来。关于隐藏方法，下面理解错误的是（）<br>
A：'隐藏恶意代码进程，即将恶意代码进程隐藏起来，或者改名和使用系统进程名，以更好的躲避检测，迷惑用户和安全检测人员</p>
<p>B：'隐藏恶意代码的网络行为，复用通用的网络端口，以躲避网络行为检测和网络监控</p>
<p>C：'隐藏恶意代码的源代码，删除或加密源代码，仅留下加密后的二进制代码，以躲避用户和安全检测人员</p>
<p>D：'隐藏恶意代码的文件，通过隐藏文件、采用流文件技术或 HOOK 技术、以躲避系统文件检查和清除</p>
<p>答案：C_</p>
<p>第287题.某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%，尽管网站没有发现任何的性能下降或其他问题。但为了安全起见，他仍然向主管领导提出了应对策略，作为主管负责人，请选择有效的针对此问题的应对措施:</p>
<p>A：'在防火墙上设置策略，阻止所有的ICMP流量进入（关掉PING）</p>
<p>B：'删除服务器上的 ping.exe 程序</p>
<p>C：'增加带宽以应对可能的拒绝服务攻击</p>
<p>D：'增加网站服务器以应对即将来临的拒绝服务攻击</p>
<p>答案：A_A是应对措施。</p>
<p>第288题.下面四款安全测试软件中，主要用于ＷＥＢ安全扫描的是（）<br>
A：'Cisco Auditing Tools</p>
<p>B：'Acunetix Web Vulnerability Scanner</p>
<p>C：'NMAP</p>
<p>D：'ISS Database Scanner</p>
<p>答案：B_B为WEB扫描工具。</p>
<p>第289题.关于 ARP 欺骗原理和防范措施，下面理解错误的是（）<br>
A：'ARP 欺骗是指攻击者直接向受害者主机发送错误的 ARP 应答报文，使得受害者主机将错误的硬件地址映射关系存入到  ARP  缓存中，从而起到冒充主机的目的</p>
<p>B：'单纯利用 ARP 欺骗攻击时，ARP 欺骗通常影响的是内部子网，不能跨越路由实施攻击</p>
<p>C：'解决 ARP 欺骗的一个有效方法是采用“静态”的 ARP 缓存，如果发生硬件地址的更改，则需要人工更新缓存</p>
<p>D：'彻底解决 ARP 欺骗的方法是避免使用 ARP 协议和 ARP 缓存，直接采用 IP 地址和其他主机进行连接</p>
<p>答案：D_</p>
<p>第290题.美国国家标准与技术研究院（National Institute of Standards and Technology,NIST）隶属美国商务部，NIST 发布的很多关于计算机安全的指南文档。下面哪个文档是由 NIST 发布的（）<br>
A：'ISO 27001 《Information technology _ Security techniques _ Informtion security management systems-Requirements》</p>
<p>B：'X.509《Information Technology _ Open Systems _ The Directory:Authentication Framcwork》</p>
<p>C：'SP 800-37《Guide for Applying the Risk Management Framcwork to Federal Information Systems》</p>
<p>D：'RFC 2402 《IP Authenticat Header》</p>
<p>答案：C_</p>
<p>第291题.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时如用户名或口令输入错误，给用户返回“用户名或口令输入错误”信息，输入错误达到三次，将禁止登陆该用户 ，请问以上安全设计遵循的是哪项安全设计原则:</p>
<p>A：'最小共享机制原则</p>
<p>B：'经济机制原则</p>
<p>C：'不信任原则</p>
<p>D：'默认故障处理保护原则</p>
<p>答案：C_</p>
<p>第292题.小王在学习信息安全管理体系相关知识之后，对于建立信息安全管理体系，自己总结了下面四条要求，其中理解不正确的是（）<br>
A：'信息安全管理体系的建立应参照国际国内有关标准实施，因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后，制定的能共同的和重复使用的规则</p>
<p>B：'信息安全管理体系的建立应基于最新的信息安全技术，因为这是国家有关信息安全的法律和法规方面的要求，这体现以预防控制为主的思想</p>
<p>C：'信息安全管理体系应强调全过程和动态控制的思想，因为安全问题是动态的， 系统所处的安全环境也不会一成不变的，不可能建设永远安全的系统</p>
<p>D：'信息安全管理体系应体现科学性和全面性的特点，因为要对信息安全管理设计的方方面面实施较为均衡的管理，避免遗漏某些方面而导致组织的整体信息安全水平过低</p>
<p>答案：B_</p>
<p>第293题.小牛在对某公司的信息系统进行风险评估后，因考虑到该业务系统中部分涉及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处理该风险。请问这种风险处置的方法是（）<br>
A：'降低风险</p>
<p>B：'规避风险</p>
<p>C：'转移风险</p>
<p>D：'放弃风险</p>
<p>答案：B_</p>
<p>第294题.残余风险是风险管理中的一个重要概念。在信息安全风险管理中，关于残余风险描述错误的是（）<br>
A：'残余风险是采取了安全措施后，仍然可能存在的风险：一般来说，是在综合考虑了安全成本与效益后不去控制的风险</p>
<p>B：'残余风险应受到密切监视，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件</p>
<p>C：'实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果</p>
<p>D：'信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小残余风险值作为风险管理效果评估指标</p>
<p>答案：D_</p>
<p>第295题.信息安全风险评估是信息安全风险管理工作中的重要环节。在《关于开展信息安全风险评估工作的意见》（国信办[2006]5 号）中，指出了风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求。下面选项中描述错误的是（）<br>
A：'自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估</p>
<p>B：'检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的风险评估</p>
<p>C：'信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充</p>
<p>D：'自评估和检查评估是相互排斥的，单位应慎重地从两种工作形式选择一个， 并坚持使用</p>
<p>答案：D_</p>
<p>第296题.在信息安全管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的:</p>
<p>A：'背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性</p>
<p>B：'背景建立阶段应识别需要保护的赋值，同时确认已有的、面临的威胁以及存在的脆弱性并分别，形成需要保护的资产清单</p>
<p>C：'背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性，形成信息系统的描述报告</p>
<p>D：'背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告</p>
<p>答案：B_</p>
<p>第297题.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来越多的组织8开始尝试使用参考 ISO27001 介绍的 ISMS 来实施信息安全管理体系，提高组织的信息安全管理能力。关于 ISMS，下面描述错误的是（）<br>
A：'在组织中，应有信息技术责任部门（如信息中心）制定并颁布信息安全方针， 为组织的 ISMS 建设指明方向并提供总体纲领，明确总体要求</p>
<p>B：'组织的管理层应确保 ISMS 目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体、具备可行性</p>
<p>C：'组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达客户、合作伙伴和供应商等外部各方</p>
<p>D：'组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受和相关残余风险</p>
<p>答案：A_</p>
<p>第298题.降低风险（或减低风险）指通过对面的风险的资产采取保护措施的方式来降低风险，下面哪个措施不属于降低风险的措施（）<br>
A：'减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机</p>
<p>B：'签订外包服务合同，将有计算难点，存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险</p>
<p>C：'减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力</p>
<p>D：'减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性， 降低被利用的可能性</p>
<p>答案：B_B属于转移风险。</p>
<p>第299题.信息安全管理体系（Information Security Management System ,ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述的错误是<br>
A：'内部审核和管理评审都很重要，都是促进 ISMS 持续改进的重要动力，也都应当按照一定的周期实施</p>
<p>B：'内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议形式进行</p>
<p>C：'内部审核的实施主体组织内部的 ISMS 内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构</p>
<p>D：'组织的信息安全方针、信息安全目标和有关 ISMS 文件等，在内部审核中作为审核标准使用，但在管理评审总，这些文件时被审对象</p>
<p>答案：C_管理评审的实施主体由用户的管理者来进行选择。</p>
<p>第300题.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器 A 的 FTP 服务存在高风险漏洞。随后该单位在风险处理时选择了关闭 FTP 服务的处理措施。请问该措施属于哪种风险处理方式（）<br>
A：'风险降低</p>
<p>B：'风险规避</p>
<p>C：'风险转移</p>
<p>D：'风险接受</p>
<p>答案：B_</p>
<p>第301题.在风险管理中，残余风险是指实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）<br>
A：'风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程</p>
<p>B：'管理层确认接收残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且承担引发的后果</p>
<p>C：'接收残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制的提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术等因素的限制</p>
<p>D：'如果残余风险没有降低到可接受的级别，则只能被动的选择接受风险，即对风险不进行下一步的处理措施，接受风险可能带来的结果</p>
<p>答案：D_如果残余风险没有降低到可接受的级别，则会被动的选择接受残余风险，但需要对残余风险进行进一步的关注、监测和跟踪。换言之就是必须重复风险管理过程，以找出一个将残余风险降低到可接受级别的方法。</p>
<p>第302题.王工是某某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产 A1 和资产 A2；其中资产 A1 面临两个主要威胁，威胁 T1 和威胁 T2；而资产 A2 面临一个主要威胁，威胁 T3；威胁 T1 可以利用的资产A1 存在的两个脆弱性；脆弱性 V1 和脆弱性 V2；威胁 T2 可以利用的资产 A1 存在的三个脆弱性，脆弱性 V3，脆弱性 V4 和脆弱性V5；威胁 T3 可以利用的资产 A2 存在的两个脆弱性；脆弱性 V6 和脆弱性 V7.根据上述条件，请问：使用相乘法时，应该为资产 A1 计算几个风险值（）<br>
A：'2</p>
<p>B：'3</p>
<p>C：'5</p>
<p>D：'6</p>
<p>答案：C_</p>
<p>第303题.在信息安全管理体系的实施过程中，管理者的作用对于信息安全管理体系能否成功实施非常重要，但是以下选项中不属于管理者应有职责的是（）<br>
A：'制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求</p>
<p>B：'确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量、计划应具体、可实施</p>
<p>C：'向组织传达满足信息安全的重要收，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性</p>
<p>D：'建立健全信息安全制度，明确信息安全风险管理作用，实施信息安全风险评估过程，确保信息安全风险评估技术选择合理、计算正确</p>
<p>答案：D_</p>
<p>第304题.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T 22080 标准要求，其信息安全措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施（）<br>
A：'资产清单</p>
<p>B：'资产责任人</p>
<p>C：'资产的可接受使用</p>
<p>D：'分类指南、信息的标记和处理</p>
<p>答案：D_</p>
<p>第305题.恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概念，关于这两个值能否为零，正确的选项是（）<br>
A：'RTO 可以为 0，RPO 也可以为 0</p>
<p>B：'RTO 可以为 0，RPO 不可以为 0</p>
<p>C：'RTO 不可以为 0，但 RPO 可以为 0</p>
<p>D：'RTO 不可以为 0，RPO 也不可以为 0</p>
<p>答案：A_RTO可以为0，RPO也可以为0。</p>
<p>第306题.在 Linux 系统中，下列哪项内容不包含在/etc/passwd 文件中（ ）<br>
A：'用户名</p>
<p>B：'用户口令</p>
<p>C：'用户主目录</p>
<p>D：'用户登录后使用的 SHELL</p>
<p>答案：B_</p>
<p>第307题.<br>
Linux 系统文件中访问权限属性通过 9 个字符来表示，分别表示文件属主、文件所属组用户和其他用户对文件的读（r）、写（w）及执行（x）的权限。文件 usr/bin/passwd 的属性信息如下图所示，在文件权限中还出现了一位 s，下列选项中对这一位 s 的理解正确的是（ ） - -r-s—x—x 1 root root 10704 Apr 20 11:55 /usr/bin/passwd<img alt="" src="./index_files/15820904529164.jpg" style="width: 544px; height: 43px;"></p>
<p>A：'文件权限出现了错误，出现 s 的位应该改为 x</p>
<p>B：'s 表示 sticky 位，设置 sticky 位后，就算用户对目录具有写权限，也不能删除该文件</p>
<p>C：'s 表示 SGID 位，文件在执行阶段具有文件所在组的权限</p>
<p>D：'s 表示 SUID 位，文件在执行阶段具有文件所有者的权限</p>
<p>答案：D_</p>
<p>第308题./etc/passwd 文件是 UNIX/Linux 安全的关键文件之一。该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户 ID（UID）、默认的用户分组 ID（GID）、用户信息、用户登录目录以及登录后使用的 shell 程序。某黑客设法窃取了银行账户管理系统的 passwd 文件后，发现每个用户的加密的口令数据项都显示 为’x’。下列选项中，对此现象的解释正确的是（ ）<br>
A：'黑客窃取的 passwd 文件是假的</p>
<p>B：'用户的登录口令经过不可逆的加密算法加密结果为‘X‘</p>
<p>C：'加密口令被转移到了另一个文件里</p>
<p>D：'这些账户都被禁用了</p>
<p>答案：C_</p>
<p>第309题.目前，信息系统面临外部攻击者的恶意攻击威胁，从威胁能力和掌握资源分，这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的是（ ）<br>
A：'喜欢恶作剧、实现自我挑战的娱乐型黑客</p>
<p>B：'实施犯罪、获取非法经济利益网络犯罪团伙</p>
<p>C：'搜集政治、军事、经济等情报信息的情报机构</p>
<p>D：'巩固战略优势，执行军事任务、进行目标破坏的信息作战部队</p>
<p>答案：B_</p>
<p>第310题.Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护 root 账户、使用网络防火墙和文件权限操作共10 个方面来完成。小张在学习了 Linux 系统安全的相关知识后，尝试为自己计算机上的 Linux 系统进行安全配置。下列选项是他的部分操作，其中不合理的是（ ）<br>
A：'编辑文件/etc/passw<br>
D.检查文件中用户ID，禁用所有ID=0的用户</p>
<p>B：'编辑文件/etc/ssh/sshd_config,将 PermitRootLogin 设置为 no</p>
<p>C：'编辑文件/etc/pam.d/system-auth,设置auth required pam_tally.so onerr=faildeny=6 unlock_time=300</p>
<p>D：'编辑文件/etc/profile,设置 TMOUT=600</p>
<p>答案：A_</p>
<p><a href="http://xn--311-bt6hn96j.gb/T">第311题.GB/T</a> 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出，建立信息安全管理体系应参照 PDCA 模型进行，即信息安全管理体系应包括建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS 等过程，并在这些过程中应实施若干活动。请选出以下描述错误的选项（）<br>
A：'“制定 ISMS 方针”是建立 ISMS 阶段工作内容</p>
<p>B：'“实施培训和意识教育计划”是实施和运行 ISMS 阶段工作内容</p>
<p>C：'“进行有效性测量”是监视和评审 ISMS 阶段工作内容</p>
<p>D：'“实施内部审核”是保持和改进 ISMS 阶段工作内容</p>
<p>答案：D_</p>
<p>第312题.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T 22080 标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项（）<br>
A：'信息安全方针、信息安全组织、资产管理</p>
<p>B：'人力资源安全、物力和环境安全、通信和操作管理</p>
<p>C：'访问控制、信息系统获取、开发和维护、符合性</p>
<p>D：'规划与建立 ISMS</p>
<p>答案：D_</p>
<p>第313题.应急响应是信息安全事件管理的重要内容之一。关于应急响应工作，下面描述错误的是（ ）<br>
A：'信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施，也包括事件发生后的应对措施</p>
<p>B：'应急响应工作有其鲜明的特点：具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作</p>
<p>C：'应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作： 安全事件发生时的正确指挥、事件发生后全面总结</p>
<p>D：'应急响应工作的起源和相关机构的成立和 1988 年 11 月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处置和整体协调的重要性</p>
<p>答案：C_应急响应是安全事件发生前的充分准备和事件发生后的响应处理。</p>
<p>第314题.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现控制外部各方的目标应该包括下列哪个选项（）<br>
A：'信息安全的管理承诺、信息安全协调、信息安全职责的分配</p>
<p>B：'信息处理设施的授权过程、保密性协议、与政府部门的联系</p>
<p>C：'与特定利益集团的联系、信息安全的独立评审</p>
<p>D：'与外部各方相关风险的识别、处理外部各方协议中的安全问题</p>
<p>答案：D_</p>
<p>第315题.在信息安全保障工作中，人才是非常重要的因素，近年来，我国一直高度重视我国信息安全人才队伍的培养和建设。在以下关于我国关于人才培养工作的描述中，错误的是（）<br>
A：'在《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发<br>
[2003]27   号）中，针对信息安全人才建设与培养工作提出了“加快新鲜全人才培养，增强全民信息安全意识”的指导精神</p>
<p>B：'2015  年，为加快网络空间安全高层次人才培养，经报国务院学位委员会批准， 国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科，这对于我国网络信息安全人才成体系化、规模化、系统化培养起到积极的推动作用</p>
<p>C：'经过十余年的发展，我国信息安全人才培养已经成熟和体系化，每年培养的信息安全从业人员的数量较多，基本能同社会实际需求相匹配；同时，高校信息安全专业毕业人才的综合能力要求高、知识更全面，因而社会化培养应重点放在非安全专业人才培养上</p>
<p>D：'除正规大学教育外，我国信息安全人才非学历教育已基本形成了以各种认证为核心，辅以各种职业技能培训的信息安全人才培训体系，包括“注册信息安全专业人员（CISP）”资质认证和一些大型企业的信息安全资质认证</p>
<p>答案：C_</p>
<p>第316题.关于信息安全保障技术框架（Information Assurance Tehnical Framework,IATF）， 下面描述错误的是（）<br>
A：'IATF 最初由美国国家安全局（NSA）发布，后来由国际标准化组织（ISO）转化为国际标准，供各个国家信息系统建设参考使用</p>
<p>B：'IATF 是一个通用框架，可以用到多种应用场景中，通过对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题</p>
<p>C：'IATF 提出了深度防御的战略思想，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁</p>
<p>D：'强调人、技术和操作是深度防御的三个主要层面，也就是说讨论人在技术支持下运行维护的信息安全保障问题</p>
<p>答案：A_</p>
<p>第317题.、我国依照信息系统的重要程度、安全事件造成的系统损失以及带来的社会影响等因素，将信息安全事件分为若干个级别，其中，能够对特别重要的信息系统产生特别严重影 响或破坏的信息安全事件，如使特别重要信息系统遭受特别重大的系统损失，如造成 系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏的，应属于哪一级信息安全事件（）<br>
A：'I 级</p>
<p>B：'Ⅲ级</p>
<p>C：'Ⅳ级</p>
<p>D：'特别级</p>
<p>答案：A_</p>
<p>第318题.随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是:</p>
<p>A：'信息系统自身存在脆弱性是根本原因。信息系统越来越重要，同时自身在开发、部署和使用过程中存在的脆弱性，导致了诸多的信息安全事件发生。因此，杜绝脆弱性的存在是解决信息安全问题的根本所在</p>
<p>B：'信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛，接触信息系统的人越多，信息系统越可能遭受攻击。因此， 避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题</p>
<p>C：'信息安全问题产生的根源要从内因和外因两个方面分析，因为信息系统自身存在脆弱性，同时外部又有威胁源，从而导致信息系统可能发生安全事件。因此，要方法信息安全风险，需从内外因同时着手</p>
<p>D：'信息安全问题的根本原因是内因、外因和人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此，对人这个因素的防范应是安全工作重点</p>
<p>答案：C_</p>
<p>第319题.<br>
2003 年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件（）</p>
<p><span style="font-size:10.5000pt">A、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）<br>
<span style="font-size:10.5000pt"><br>
B、《国家网络安全综合计划（CNCI）》（国令[2008]54 号）<br>
<span style="font-size:10.5000pt"><br>
C、《国家信息安全战略报告》（国信[2005]2 号）<br>
<span style="font-size:10.5000pt"><br>
D、《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23&nbsp;号）</span></span></span></span></p>
<p>答案：B_</p>
<p>第320题.某项目的主要内容为建造 A 类机房，监理单位需要根据《电子信息系统机房设计规范》(GB 50174-2008)的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是:</p>
<p>A：'在异地建立备份机房时，设计时应与主用机房等级相同</p>
<p>B：'由于高端小型机发热量大，因此采用活动地板下送风，上回风的方式</p>
<p>C：'因机房属于 A 级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时， 所配备的柴油发电机应能承担全部负荷的需要</p>
<p>D：'A 级主机房应设置喷水灭火系统</p>
<p>答案：D_</p>
<p>第321题.由于发生了一起针对服务器的口令暴力破解攻击，管理员决定对设置帐户锁定策略以对抗口令暴力破解。他设置了以下账户锁定策略如下：<br>
账户锁定阀值 3 次无效登陆；<br>
账户锁定时间 10 分钟；<br>
复位账户锁定计数器 5 分钟；<br>
以下关于以上策略设置后的说法哪个是正确的<br>
A：'设置账户锁定策略后，攻击者无法再进行口令暴力破解，所有输错的密码的拥护就会被锁住</p>
<p>B：'如果正常用户部小心输错了 3 次密码，那么该账户就会被锁定 10 分钟，10 分钟内即使输入正确的密码，也无法登录系统</p>
<p>C：'如果正常用户不小心连续输入错误密码 3 次，那么该拥护帐号被锁定 5 分钟，5 分钟内即使交了正确的密码，也无法登录系统</p>
<p>D：'攻击者在进行口令破解时，只要连续输错 3 次密码，该账户就被锁定 10 分钟，而正常拥护登陆不受影响</p>
<p>答案：B_答案为B，全部解释为5分钟计数器时间内错误3次则锁定10分钟。</p>
<p>第322题.从历史演进来看，信息安全的发展经历了多个阶段。其中，有一个阶段的特点是：网络信息系统逐步形成，信息安全注重保护信息在存储、处理和传输过程中免受非授权的访问，开始使用防火墙、防病毒、PKI 和 VPN 等安全产品。这个阶段是（）<br>
A：'通信安全阶段</p>
<p>B：'计算机安全阶段</p>
<p>C：'信息系统安全阶段</p>
<p>D：'信息安全保障阶</p>
<p>答案：C_</p>
<p>第323题.主体和客体是访问控制模型中常用的概念。下面描述种错误的是（）<br>
A：'主体是访问的发起者，是一个主动的实体，可以操作被动实体的相关信息或数据</p>
<p>B：'客体也是一种实体，是操作的对象，是被规定需要保护的资源</p>
<p>C：'主体是动作的实施者，比如人、进程或设备等均是主体，这些对象不能被当作客体使用</p>
<p>D：'一个主体为了完成任务，可以创建另外的主体，这些主体可以独立运行</p>
<p>答案：C_</p>
<p>第324题.某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:</p>
<p>A：'强制访问控制</p>
<p>B：'基于角色的访问控制</p>
<p>C：'自主访问控制</p>
<p>D：'基于任务的访问控制</p>
<p>答案：C_</p>
<p>第325题.由于 Internet 的安全问题日益突出，基于 TCP/IP 协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议，用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是（）<br>
A：'PP2P</p>
<p>B：'L2TP</p>
<p>C：'SSL</p>
<p>D：'IPSec</p>
<p>答案：C_</p>
<p>第326题.防火墙是网络信息系统建设中常常采用的一类产品，它在内外网隔离方面的作用是<br>
A：'既能物理隔离，又能逻辑隔离</p>
<p>B：'能物理隔离，但不能逻辑隔离</p>
<p>C：'不能物理隔离，但是能逻辑隔离</p>
<p>D：'不能物理隔离，也不能逻辑隔离</p>
<p>答案：C_</p>
<p>第327题.<br>
异常入侵检测是入侵检测系统常用的一种技术，它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用，从而检测出入侵行为。下面说法错误的是</p>
<p>A：'在异常入侵检测中，观察的不是已知的入侵行为，而是系统运行过程中的异常现象</p>
<p>B：'实施异常入侵检测，是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生</p>
<p>C：'异常入侵检测可以通过获得的网络运行状态数据，判断其中是否含有攻击的企图，并通过多种手段向管理员报警</p>
<p>D：'异常入侵检测不但可以发现从外部的攻击，也可以发现内部的恶意行为</p>
<p>答案：B_检测方法可分为异常入侵检测和误用入侵检测。实施误用入侵检测（或特征检测），是将当前获取行为数据和已知入侵攻击行为特征相比较，若匹配则认为有攻击发生。</p>
<p>第328题.私有 IP 地址是一段保留的IP 地址。只适用在局域网中，无法在 Internet 上使用。关于私有地址，下面描述正确的是（）<br>
A：'A 类和 B 类地址中没有私有地址，C 类地址中可以设置私有地址</p>
<p>B：'A 类地址中没有私有地址，B 类 和 C 类地址中可以设置私有地址</p>
<p>C：'A 类、B 类和 C 类地址中都可以设置私有地址</p>
<p>D：'A 类、B 类和 C 类地址中都没有私有地址</p>
<p>答案：C_</p>
<p>第329题.自主访问控制模型（DAC）的访问控制关系可以用访问控制（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用有课题只想的链表来存储相关数据。下面选项中说法正确的是（）<br>
A：'ACL是Bell-LaPadula模型的一种具体实现</p>
<p>B：'ACL在删除用户时，去除该用户所有的访问权限比较方便</p>
<p>C：'ACl对于统计某个主体能访问哪些客体比较方便</p>
<p>D：'ACL在增加客体时，增加相关的访问控制权限比较简单</p>
<p>答案：D_</p>
<p>第330题.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是（）<br>
A：'身份鉴别，应用系统应对登陆的用户进行身份鉴别，只有通过验证的用户才能访问应用系统资源</p>
<p>B：'安全标记，在应用系统层面对主体和客体进行标记，主体不能随意更改权限，增加访问</p>
<p>C：'剩余信息保护，应用系统应加强硬盘、内存或缓冲区中剩余信息的保护，防止存储在硬盘、内存或缓冲区的信息被非授权的访问</p>
<p>D：'机房与设施安全，保证应用系统处于有一个安全的环境条件，包括机房环境、机房安全等级、机房的建造和机房的装修等</p>
<p>答案：D_机房与设施安全属于物理安全，不属于应用安全。</p>
<p>第331题.下面信息安全漏洞理解错误的是:</p>
<p>A：'讨论漏洞应该从生命周期的角度出发，信息产品和信息系统在需求、设计、实现、配置、维护和使用等阶段中均有可能产生漏洞</p>
<p>B：'信息安全漏洞是由于信息产品和信息系统在需求、设计、开发、部署或维护阶段，由于设计、开发等相关人员无意中产生的缺陷所造成的</p>
<p>C：'信息安全漏洞如果被恶意攻击者成功利用，可能会给信息产品和信息系统带来安全损害，甚至带来很大的经济损失</p>
<p>D：'由于人类思维能力、计算机计算能力的局限性等因素，所以在信息产品和信息系统中产生新的漏洞是不可避免的</p>
<p>答案：B_安全漏洞可以有意产生，也会无意产生。</p>
<p>第332题.加密文件系统（Encrypting File System, EFS）是 Windows 操作系统的一个组件，以下说法错误的是（）<br>
A：'EFS 采用加密算法实现透明的文件加密和解密，任何不拥有合适密钥的个人或者程序都不能解密数据</p>
<p>B：'EFS 以公钥加密为基础，并利用了 widows 系统中的 CryptoAPI 体系结构</p>
<p>C：'EFS 加密系统适用于 NTFS 文件系统合 FAT32 文件系统（Windows 环境下）</p>
<p>D：'EFS 加密过程对用户透明，EFS 加密的用户验证过程是在登陆 windows 时进行的</p>
<p>答案：C_答案为C，FAT32不支持EFS加密。</p>
<p>第333题.以下哪一项不是信息系统集成项目的特点:</p>
<p>A：'信息系统集成项目要以满足客户和用户的需求为根本出发点</p>
<p>B：'系统集成就是选择最好的产品和技术，开发响应的软件和硬件，将其集成到信息系统的过程</p>
<p>C：'信息系统集成项目的指导方法是“总体规划、分步实施”</p>
<p>D：'信息系统集成包含技术，管理和商务等方面，是一项综合性的系统工程</p>
<p>答案：B_系统集成就是选择最适合的产品和技术。</p>
<p>第334题.关于信息安全管理，下面理解片面的是（）<br>
A：'信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障</p>
<p>B：'信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的</p>
<p>C：'信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础</p>
<p>D：'持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一</p>
<p>答案：C_C是片面的，应为技管并重。</p>
<p>第335题.以下哪项制度或标准被作为我国的一项基础制度加以推行，并且有一定强制性，其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全（）<br>
A：'信息安全管理体系（ISMS）</p>
<p>B：'信息安全等级保护</p>
<p>C：'NIST SP800</p>
<p>D：'ISO 270000 系统</p>
<p>答案：B_信息安全等级保护制度重点保障基础信息网络和重要信息系统的安全。</p>
<p>第336题.在某次信息安全应急响应过程中，小王正在实施如下措施：消除或阻断攻击源，找到并消除系统的脆弱性/漏洞、修改安全策略，加强防范措施、格式化被感染而已程序的介质等， 请问，按照应急响应方法，这些工作应处于以下哪个阶段（）<br>
A：'准备阶段</p>
<p>B：'检测阶段</p>
<p>C：'遏制阶段</p>
<p>D：'根除阶段</p>
<p>答案：D_消除或阻断攻击源等措施为根除阶段。</p>
<p>第337题.下面有关软件安全问题的描述中，哪项应是由于软件设计缺陷引起的（）<br>
A：'设计了三层 WEB 架构，但是软件存在 SQL 注入漏洞，导致被黑客攻击后直接访问数据库</p>
<p>B：'使用 C 语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞</p>
<p>C：'设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据</p>
<p>D：'使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据</p>
<p>答案：A_</p>
<p>第338题.对系统工程（Systems Engineering，SE）的理解，以下错误的是:</p>
<p>A：'系统工程偏重于对工程的组织与经营管理进行研究</p>
<p>B：'系统工程不属于技术实现，而是一种方法论</p>
<p>C：'系统工程不是一种对所有系统都具有普遍意义的科学方法</p>
<p>D：'系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法</p>
<p>答案：C_系统工程是一种对所有系统都具有普遍意义的科学方法。</p>
<p>第339题.系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。 有关此模型， 错误的是:</p>
<p>A：'霍尔三维机构体系形成地描述了系统工程研究的框架</p>
<p>B：'时间维表示系统工程活动从开始到结束按照时间顺序排列的全过程</p>
<p>C：'逻辑维的七个步骤与时间维的七个阶段严格对应，即时间维第一阶段应执行逻辑维第一步骤的活动，时间维第二阶段应执行逻辑维第二步骤的活动</p>
<p>D：'知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能</p>
<p>答案：C_霍尔三维模型是一种系统思想，无法实现严格的对应。</p>
<p>第340题.信息安全工程监理是信息系统工程监理的重要组成部分，信息安全工程监理适用的信息化工程中，以下选择最合适的是:</p>
<p>A：'通用布缆系统工程</p>
<p>B：'电子设备机房系统工程</p>
<p>C：'计算机网络系统工程</p>
<p>D：'以上都适用</p>
<p>答案：D_</p>
<p>第341题.以下行为不属于违反国家保密规定的行为:</p>
<p>A：'将涉密计算机、涉密存储设备接入互联网及其他公共信息网络</p>
<p>B：'通过普通邮政等无保密措施的渠道传递国家秘密载体</p>
<p>C：'在私人交往中涉及国家秘密</p>
<p>D：'以不正当手段获取商业秘密</p>
<p>答案：D_</p>
<p>第342题.规范的实施流程和文档管理，是信息安全风险评估结能否取得成果的重要基础，按照规范的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果（）<br>
A：'《风险评估方案》</p>
<p>B：'《需要保护的资产清单》</p>
<p>C：'《风险计算报告》</p>
<p>D：'《风险程度等级列表》</p>
<p>答案：B_风险要素包括资产、威胁、脆弱性、安全措施。</p>
<p>第343题.由于病毒攻击、非法入侵等原因,校园网整体瘫_,或者校园网络中心全部DNS 主WEB 服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件( )<br>
A：'特别重大事件</p>
<p>B：'重大事件</p>
<p>C：'较大事件</p>
<p>D：'一般事件</p>
<p>答案：D_</p>
<p>第344题.关于标准，下面哪项理解是错误的（）<br>
A：'标准是在一定范围内为了获得最佳秩序，经协协商一致制定并由公认机构批准，共同重复使用的一种规范性文件，标准是标准化活动的重要成果</p>
<p>B：'国际标准是由国际标准化组织通过并公布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突，应以国际标准条款为准</p>
<p>C：'行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准</p>
<p>D：'地方标准由省、自治区、直辖市标准化行政主管部门制度，禀报国务院标准化行政主管 部门和国务院有关行政主管培训部门备案，在公布国家标准后，该地方标准即应废止</p>
<p>答案：B_当国家标准和国际标准的条款发生冲突，应以国家标准条款为准。</p>
<p>第345题.2005 年 ， RFC4301 （ Request for Comments 4301 ： Security Architecture for the Intermet Protocol）发布，用以取代原先的 RFC2401，该标准建议规定了 IPsec 系统基础架构，描述如何在 IP 层（IPv4/IPv6）为流量提供安全业务，请问此类 RFC 系列标准建设是由哪个组织发布的（）<br>
A：'国际标准化组织</p>
<p>B：'国际电工委员会</p>
<p>C：'国际电信联盟远程通信标准化组织</p>
<p>D：'Internet 工程任务组</p>
<p>答案：D_</p>
<p><a href="http://xn--346-bt6hn96j.gb/T">第346题.GB/T</a> 18336《信息技术安全性评估准则》是测评标准类中的重要标准，该标准定义了保护轮廊（Protection Profile，PP）和安全目标（Security Target，ST）的评估准则，提出了评估保证级（Evaluation Assurance Level，EAL），其评估保证级共分为（）个递增的评估保证等级<br>
A：'4</p>
<p>B：'5</p>
<p>C：'6</p>
<p>D：'7</p>
<p>答案：D_</p>
<p>第347题.以下说法正确的是:</p>
<p>A：'验收测试是由承建方和用户按照用户使用手册执行软件验收</p>
<p>B：'软件测试的目的是为了验证软件功能是否正确</p>
<p>C：'监理工程师应按照有关标准审查提交的测试计划，并提出审查意见</p>
<p>D：'软件测试计划开始于软件设计阶段，完成于软件开发阶段</p>
<p>答案：C_C是监理工程师的职责。</p>
<p>第348题.以下系统工程说法错误的是:</p>
<p>A：'系统工程的基本理论的技术实现</p>
<p>B：'系统工程是一种对所有系统都具有普遍意义的科学方法</p>
<p>C：'系统工程是组织管理系统规划研究制造试验使用的科学方法</p>
<p>D：'系统工程是一种方法论</p>
<p>答案：A_</p>
<p>第349题.PDCERF 方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。其中，主要执行如下工作应在哪一个阶段：关闭信息系统、和/或修改防火墙和路由器的过滤规则，拒绝来自发起攻击的嫌疑主机流量、和/或封锁被攻破的登录账号等（）<br>
A：'准备阶段</p>
<p>B：'遏制阶段</p>
<p>C：'根除阶段</p>
<p>D：'检测阶段</p>
<p>答案：B_拒绝来自发起攻击的嫌疑主机流量等做法属于遏制阶段的工作。</p>
<p>第350题.在网络信息系统中对用户进行认证识别时，口令是一种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令。下面找描述中错误的是（ ）<br>
A、所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的<br>
A：'所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的</p>
<p>B：'使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块</p>
<p>C：'动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令</p>
<p>D：'通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型</p>
<p>答案：C_动态口令方案要求其口令不能被收集和预测。</p>
<p>第351题.“统一威胁管理”是将防病毒，入侵检测和防火墙等安全需求统一管理，目前市场上已经出现了多种此类安全设备，这里“统一威胁管理”常常被简称为（ ）<br>
A：'UTM</p>
<p>B：'FW</p>
<p>C：'IDS</p>
<p>D：'SOC</p>
<p>答案：A_</p>
<p>第352题.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所 有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知 防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源， 提高了防御体系级别。但入侵检测技术不能实现以下哪种功能（ ）<br>
A：'检测并分析用户和系统的活动</p>
<p>B：'核查系统的配置漏洞，评估系统关键资源和数据文件的完整性</p>
<p>C：'防止 IP 地址欺骗</p>
<p>D：'识别违反安全策略的用户活动</p>
<p>答案：C_入侵检测技术是发现安全攻击，不能防止IP欺骗。</p>
<p>第353题.Gary McGraw 博士及其合作者提出软件安全 BSI 模型应由三根支柱来支撑，这三个支柱是 （ ）<br>
A：'源代码审核、风险分析和渗透测试</p>
<p>B：'风险管理、安全接触点和安全知识</p>
<p>C：'威胁建模、渗透测试和软件安全接触点</p>
<p>D：'威胁建模、源代码审核和模糊测试</p>
<p>答案：B_BSI的模型包括风险管理、安全接触点和安全知识。</p>
<p>第354题.以下哪一项不是常见威胁对应的消减措施:</p>
<p>A：'假冒攻击可以采用身份认证机制来防范</p>
<p>B：'为了防止传输的信息被篡改，收发双方可以使用单向 Hash 函数来验证数据的完整性</p>
<p>C：'为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖</p>
<p>D：'为了防止用户提升权限，可以采用访问控制表的方式来管理权限</p>
<p>答案：C_消息验证码不能防止抵赖，而是提供消息鉴别、完整性校验和抗重放攻击。</p>
<p>第355题.国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（ ）<br>
A：'统筹规划</p>
<p>B：'分组建设</p>
<p>C：'资源共享</p>
<p>D：'平战结合</p>
<p>答案：B_灾备工作原则包括统筹规划、资源共享、平战结合。</p>
<p>第356题.关于信息安全管理体系（Information Security Management Systems,ISMS）,下面描述错误的是（ ）<br>
A：'信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素</p>
<p>B：'管理体系（Management Systems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用</p>
<p>C：'概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001 标准定义的管理体系，它是一个组织整体管理体系的组成部分</p>
<p>D：'同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容</p>
<p>答案：A_完成安全目标所用各类安全措施的体系。</p>
<p>第357题.小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行， 比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的是（ ）<br>
A：'可以建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查</p>
<p>B：'可以强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化</p>
<p>C：'可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心</p>
<p>D：'可以深化信息安全管理，提高安全防护效果，使组织通过国际标准化组织的 ISO9001 认证</p>
<p>答案：D_ISO9001是质量管理体系，信息安全管理体系的最终目的不是为了通过认证</p>
<p>第358题.模糊测试，也称Fuzz测试，是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面描述正确的是（）<br>
A：'模糊测试本质上属于黑盒测试</p>
<p>B：'模糊测试本质上属于白盒测试</p>
<p>C：'模糊有时属于黑盒测试，又是属于白盒测试，取决于其使用的测试方法</p>
<p>D：'模糊测试既不属于黑盒测试，也不属于白盒测试</p>
<p>答案：A_</p>
<p>第359题.<br>
小李是某公司系统规划师，某天他针对公司信息系统的现状，绘制了一张系统安全建设规划图，如下图所示。请问这个图形是依据下面哪个模型来绘制的（）<img alt="" src="./index_files/15820903181416.png" style="width: 400px; height: 187px;"></p>
<p>A：'PDR</p>
<p>B：'PPDR</p>
<p>C：'PDCA</p>
<p>D：'IATF</p>
<p>答案：B_</p>
<p>第360题.<br>
ISO9001-2000标准鼓励在指定、实施质量管理体系以及改进其他有效性时采用过程方法，通过满足顾客要求，增进客户满意，下图是关于过程方法的示意图，图中括号空白处应填写（）<img alt="" src="./index_files/15820919483479.png" style="width: 300px; height: 155px;"></p>
<p>A：'策略</p>
<p>B：'管理者</p>
<p>C：'组织</p>
<p>D：'活动</p>
<p>答案：D_</p>
<p>第361题.<br>
为了能够合理、有序地处理安全事件，应事件制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制，将损失和负面影响 降至最低。PDCERF 方法论是一种防范使用的方法，其将应急响应分成六个阶段，如下图所示， 请为图中括号空白处选择合适的内容（）<img alt="" src="./index_files/15820902298575.png" style="width: 300px; height: 166px;"></p>
<p>A：'培训阶段</p>
<p>B：'文档阶段</p>
<p>C：'报告阶段</p>
<p>D：'检测阶段</p>
<p>答案：D_</p>
<p>第362题.<br>
风险分析是风险评估工作中的一个重要内容，GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小，其中风险计算矩阵如下图所示，请为图中括号空白处选择合适的内容（）<img alt="" src="./index_files/15820901627243.png" style="width: 400px; height: 113px;"></p>
<p>A：'安全资产价值大小等级</p>
<p>B：'脆弱性严重程度等级</p>
<p>C：'安全风险隐患严重等级</p>
<p>D：'安全事件造成损失大小</p>
<p>答案：D_</p>
<p>第363题.在设计信息系统安全保障方案时，以下哪个做法是错误的:</p>
<p>A：'要充分切合信息安全需求并且实际可行</p>
<p>B：'要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本</p>
<p>C：'要充分采取新技术，使用过程中不断完善成熟，精益求精，实现技术投入保值要求</p>
<p>D：'要充分考虑用户管理和文化的可接受性，减少系统方案障碍</p>
<p>答案：C_设计信息系统安全保障方案应采用合适的技术。</p>
<p>第364题.以下关于法律的说法错误的是？<br>
A：'法律是国家意志的统一体现，有严密的逻辑体系和效力</p>
<p>B：'法律可以是公开的，也可以是“内部”的</p>
<p>C：'一旦制定，就比较稳定，长期有效，不允许经常更改</p>
<p>D：'法律对违法犯罪的后果有明确规定，是一种“硬约束”</p>
<p>答案：B_党的政策往往主要表现为党的文件，这些文件可以是公开的，也可以是“内部”的。法律必须是公开的。</p>
<p>第365题.访问控制是对用户或用户组访问本地或网络上的域资源进行授权的一种机制。在window2000 以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户<br>
权限和对象许可，通常使用 ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对Windows 操作系统访问控制实现方法的理解错误的是（）<br>
A：'ACL只能由管理员进行管理</p>
<p>B：'ACL 是对象安全描述符的基本组成部分，它包括有权访问对象的用户和组的SID</p>
<p>C：'访问令牌存储着用户的SID组信息和分配给用户的权限</p>
<p>D：'通过授权管理器，可以实现基于角色的访问控制</p>
<p>答案：A_</p>
<p>第366题.在信息安全风险管理过程中，背景建立是实施工作的第一步。下面哪项理解是错误的（）<br>
A：'背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准，以及机构的使命、信息系统的业务目标和特性</p>
<p>B：'背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性，并分别赋值，同时确认已有的安全措施，形成需要保护的资产清单</p>
<p>C：'背景建立阶段应调查信息系统的业务目标、业务特性和技术特性，形成信息系统的描述报告</p>
<p>D：'背景建立阶段应分析信息系统的体系结构和关键要素，分析信息系统的安全环境和要求，形成信息系统的安全要求报告</p>
<p>答案：B_</p>
<p>第367题.<br>
我国标准《信息安全风险管理指南》（GB/Z24364）给出了信息安全风险管理的内容和过程，可以用下图来表示。图中空白处应该填写（）<img alt="" src="./index_files/15820917677973.png" style="width: 350px; height: 267px;"></p>
<p>A：'风险计算</p>
<p>B：'风险评价</p>
<p>C：'风险预测</p>
<p>D：'风险处理</p>
<p>答案：D_</p>
<p>第368题.目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义,下列说法中不正确的是:<br>
A：'有助于建立和实施信息安全产品的市场准入制度</p>
<p>B：'有助于建立和实施信息安全产品的市场准入制度</p>
<p>C：'对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督</p>
<p>D：'打破市场垄断,为信息安全产业发展创造一个良好的竞争环境</p>
<p>答案：D_</p>
<p>第369题.<br>
陈工学习了信息安全风险有关的知识，了解到安全风险的构成过程，包括五个方面：起源、方式、途径、受体和后果。他画了下面这张图来描述信息安全风险的构成过程，图中括号空白处应该填写（）<img alt="" src="./index_files/15820922668886.png" style="width: 400px; height: 88px;"></p>
<p>A：'信息载体</p>
<p>B：'措施</p>
<p>C：'脆弱性</p>
<p>D：'风险评估</p>
<p>答案：C_</p>
<p>第370题.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是（）<br>
A：'各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点</p>
<p>B：'各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件</p>
<p>C：'各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通</p>
<p>D：'各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评</p>
<p>答案：C_</p>
<p>第371题.作为信息安全从业人员，以下哪种行为违反了 CISP 职业道德准则<br>
A：'抵制通过网络系统侵犯公众合法权益</p>
<p>B：'通过公众网络传播非法软件</p>
<p>C：'不在计算机网络系统中进行造谣、欺诈、诽谤等活动</p>
<p>D：'帮助和指导信息安全同行提升信息安全保障知识和能力</p>
<p>答案：B_</p>
<p>第372题.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是强制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：(1)自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击，小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息，以上四个观点中，有一个观点是正确的，它是（ ）<br>
A：'观点（1），因为自主访问控制的安全策略是固定的，主体的访问权限不能改变</p>
<p>B：'观点（2），因为在自主访问控制中，操作系统无法区分文件的访问权限是由合法用户修改，还是由而己攻击的成需修改的</p>
<p>C：'观点（3），因为在强制访问控制中，安全级别最高的用户可以修改安全属性</p>
<p>D：'观点（4），因为在强制访问控制中，用户可能无意中泄露机密信息</p>
<p>答案：D_</p>
<p>第373题.我国标准《信息技术安全性评估准则》（GB/T 18336）对信息产品安全的测评认证由低 到高划分了若干个级别，其中最低级别主要是面向个人及简单商用环境，需要保护的信息价值较低，该级别是（）<br>
A：'EAL1</p>
<p>B：'EAL3</p>
<p>C：'EAL5</p>
<p>D：'EAL7</p>
<p>答案：A_</p>
<p>第374题.国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（ ）<br>
A：'统筹规划</p>
<p>B：'分级建设</p>
<p>C：'资源共享</p>
<p>D：'平战结合</p>
<p>答案：B_灾备工作原则包括统筹规划、资源共享、平战结合。</p>
<p>第375题.<br>
风险分析是风险评估工作中的一个重要内容，下面描述了信息安全风险分析的过程，请为图中括号空白处选择合适的内容（）<img alt="" src="./index_files/15820917131247.png" style="width: 400px; height: 158px;"></p>
<p>A：'需要保护的资产清单</p>
<p>B：'已有安全措施列表</p>
<p>C：'安全风险等级列表</p>
<p>D：'信息安全风险评估策略</p>
<p>答案：A_</p>
<p>第376题.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量。小王采用该方法来为单位机房计算火灾的风险大小。假设单位机房的总价值为 200 万元人民币，暴露系数（ExposureFactor，EF）是 X，年度发生率 （Annualized Rate of Occurrence，ARO）为 0.1，而小王计算的年度预期损失（Annualized Loss Expectancy，ALE）值为 5 万元人民币。由此，X 值应该是（ ）<br>
A：'0.025</p>
<p>B：'0.25</p>
<p>C：'0.05</p>
<p>D：'0.5</p>
<p>答案：B_</p>
<p>第377题.以下哪个不是 SDL 的思想之一？<br>
A：'SDL 是持续改进的过程，通过持续改进和优化以适用各种安全变化，追求最优效果</p>
<p>B：'SDL 要将安全思想和意识嵌入到软件团队和企业文化中</p>
<p>C：'SDL要实现安全的可度量性</p>
<p>D：'SDL 是对传统软件开发过程的重要补充，用于完善传统软件开发中的不足</p>
<p>答案：D_</p>
<p>第378题.按照我国信息安全等级保护的有关政策和标准，有些信息系统只需要自主定级、自主保护，按照要求向公安机关备案即可，可以不需要上级或主管部门来测评和检查。此类信息系统应属于（    ）<br>
A：'零级系统</p>
<p>B：'一级系统</p>
<p>C：'二级系统</p>
<p>D：'三级系统</p>
<p>答案：C_2级以上系统需要备案，备案流程：《信息安全等级保护管理办法》第十五条已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。按《信息安全等级保护管理办法》第十条对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。按《信息安全等级保护管理办法》第十六条第三级以上信息系统备案时应提供信息系统安全保护等级专家评审意见。</p>
<p>第379题.<br>
ISO27002（Information technology-Security techniques-Code ofpractice for information security management）是重要的信息安全管理标准之一，下图是关于其演进变化示意图，图中括号空白处应填写（）<img alt="" src="./index_files/15820924063374.png" style="width: 400px; height: 51px;"></p>
<p>A：'<br>
B.7799.1.3</p>
<p>B：'ISO 17799</p>
<p>C：'AS/NZS 4630</p>
<p>D：'NIST SP 800-37</p>
<p>答案：B_</p>
<p>第380题.在国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T    20274.1- 2006）中描述了信息系统安全保障模型，下面对这个模型理解错误的是（）<br>
A：'该模型强调保护信息系统所创建、传输、储存和处理信息的保密性、完整性和可用性等安全特征不被破坏，从而达到实现组织机构使命的目的</p>
<p>B：'该模型是一个保障持续发展的动态安全模型，即信息安全保障应该贯穿于整个信息系统生命周期的全过程</p>
<p>C：'该模型强调综合保障的观念，即信息系统的安全保障是通过综合技术、管理、工程和人员的安全保障来实施和实现信息系统的安全保障目标</p>
<p>D：'该模型将风险和策略作为信息系统安全保障的基础和核心，基于 IATF 模型改进，在其基础上增加了人员要素，强调信息安全的自主性</p>
<p>答案：D_</p>
<p>第381题.<br>
公钥基础设施（Public KEy Infrastructure，PKI）引入数字证书概念，用来表示用户的身份。下图简要的描述了终端实体（用户）从认证权威机构CA申请、撤销和更新数字证书的流程。请为中间框空白处选择合适的选项（）<img alt="" src="./index_files/15820924725007.png" style="width: 400px; height: 44px;"></p>
<p>A：'证书库</p>
<p>B：'RA</p>
<p>C：'OCSP</p>
<p>D：'CRL库</p>
<p>答案：B_</p>
<p>第382题.小王是某大学计算机科学与技术专业的学生，最近因为生病缺席了几堂信息安全课程，这几次课的内容是自主访问控制与强制访问控制，为了赶上课程进度，他向同班的小李借来课堂笔记，进行自学。而小李在听课时由于经常走神，所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容，其中出现错误的选项是（）<br>
A：'强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体</p>
<p>B：'安全属性是强制性的规定，它由安全管理员或操作系统根据限定的规则确定，不能随意修改</p>
<p>C：'系统通过比较客体和主体的安全属性来决定主体是否可以访问客体</p>
<p>D：'它是一种对单个用户执行访问控制的过程控制措施</p>
<p>答案：D_</p>
<p>第383题.对信息安全事件的分类参考下列三个要素：信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对信息系统进行划分，不属于正确划分级别的是:</p>
<p>A：'特别重要信息系统</p>
<p>B：'重要信息系统</p>
<p>C：'一般信息系统</p>
<p>D：'关键信息系统</p>
<p>答案：D_</p>
<p>第384题.<br>
根据 Bell-LaPedula 模型安全策略，下图中写和读操作正确的是（ ）<img alt="" src="./index_files/15820915797497.png" style="width: 400px; height: 105px;"></p>
<p>A：'可读可写</p>
<p>B：'可读不可写</p>
<p>C：'可写不可读</p>
<p>D：'不可读不可写</p>
<p>答案：B_不向上读，不向下写。简单安全规则：当主体的安全级可以支配客体的安全级，且主体对客体有自主型读权限，主体可以读客体。</p>
<p>第385题.随着“互联网+”概念的普及，越来越多的新兴住宅小区引入了“智能楼宇”的理念，某物业 为提供高档次的服务，防止网络主线路出现故障，保证小区内网络服务的可用，稳定、高效， 计划通过网络冗余配置确保智能楼宇系统的正常运转，下列选项不属于冗余配置的是（）<br>
A：'接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响</p>
<p>B：'核心层、汇聚层的设备和重要的接入层设备均应双机设备</p>
<p>C：'规划网络 IP 地址，制定网络 IP 地址分配策略</p>
<p>D：'保证网络带宽和网络设备的业务处理能力具务冗余空间，满足业务高峰期和业务发展需求</p>
<p>答案：D_网络冗余技术分为设备级、链路级、网关级冗余技术。设备级实现电源冗余和管理板卡冗余。链路级冗余技术实现多条链路之间的备份和流量分担。网关级是用来保证使用网络的终端用户与园区网络可靠连接的一种冗余技术</p>
<p>第386题.对抗监测技术是恶意代码实现自身保护的重要机制。主要采用的是反调试技术。反调试技术可以分为动态反调试和静态反调试。以下哪项属于动态反调试技术（）<br>
A：'加壳</p>
<p>B：'代码混淆</p>
<p>C：'禁止跟踪中断</p>
<p>D：'加密</p>
<p>答案：B_</p>
<p>第387题.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标（）<br>
A：'符合法律要求</p>
<p>B：'符合安全策略和标准以及技术符合性</p>
<p>C：'信息系统审核考虑</p>
<p>D：'访问控制的业务要求、用户访问管理</p>
<p>答案：D_</p>
<p>第388题.数字签名不能实现的安全特性为（）<br>
A：'防抵赖</p>
<p>B：'防伪造</p>
<p>C：'防冒充</p>
<p>D：'保密通信</p>
<p>答案：D_</p>
<p>第389题.Windows 系统中，安全标识符（SID）是标识用户、组合计算机账户的唯一编码，在操作系统内部使用。当授予用户、组、服务或者其他安全主体访问对象的权限时，操作系统会把 SID 和权限写入对象的 ACL 中。小刘在学习了 SID 的组成后，为了巩固所学知识，在自己计算机的 Windows 操作系统中使用 whoami /users 操作查看当前用户的 SID。得到的 SID 为 S-I- 5-21-1534169462-1651380828-111620651-500。下列选项中，关于此 SID 的理解错误的是 （）<br>
A：'前三位 S-I-5 表示此SID 是由Windows NT 颁发的</p>
<p>B：'第一个子颁发机构是21</p>
<p>C：'Windows NT 的 SID 的三个子颁发机构是 1534169462、1651380828、111620651</p>
<p>D：'SID 以 500 结尾，表示内置guest 账户</p>
<p>答案：D_</p>
<p>第390题.关于对信息安全事件进行分类分级管理的原因描述不正确的是（）<br>
A：'信息安全事件的种类很多，严重程度各不相同，其影响和处理方式也各不相同</p>
<p>B：'对信息安全事件进行分类和分级管理，是有效防范和影响信息安全事件的基础</p>
<p>C：'能够使事前准备，事中应对和事后处理的各项相关工作更其针对性和有效性</p>
<p>D：'我国早期的计算机安全事件的应急响应工作主要包括计算机的病毒防范和“千年虫”问题的解决，关于网络安全应急响应的起步最早</p>
<p>答案：D_</p>
<p>第391题.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为 3 个控制阶段， 不包括哪一项（）<br>
A：'任用之前</p>
<p>B：'任用中</p>
<p>C：'任用终止或变化</p>
<p>D：'任用后</p>
<p>答案：D_</p>
<p>第392题.信息安全事件的分类方法有很多种，依据 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》。信息安全事件分为7个基本类别，描述正确的是（）<br>
A：'有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件</p>
<p>B：'网络攻击事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件</p>
<p>C：'网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事</p>
<p>D：'网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件</p>
<p>答案：A_</p>
<p>第393题.以下关于软件安全问题对应关系错误的是？<br>
A：'缺点（Defect）-软件实现和设计上的弱点</p>
<p>B：'缺陷（Bug）-实现级上的软件问题</p>
<p>C：'瑕疵（Flaw）-一种更深层次、设计层面的问题</p>
<p>D：'故障（Failure）-由于软件存在缺点造成的一种外部表吸纳，是静态的、程序  执行过程中出现的行为表现</p>
<p>答案：C_</p>
<p>第394题.自助访问控制（DAC）是应用很广泛的访问控制方法，常用于多种商业系统中，以下对DAC 模型的理解中，存在错误的是（ ）<br>
A：'在DAC 模型中，资源的所有者可以规定谁有权访问他们的资源</p>
<p>B：'DAC 是一种对单个用户执行访问控制的过程和措施</p>
<p>C：'DAC 可为用户提供灵活调整的安全策略，具有较好的易用性和可扩展性，可以抵御特洛伊木马的攻击</p>
<p>D：'在 DAC 中，具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体</p>
<p>答案：C_一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。</p>
<p>第395题.恶意代码经过 20 多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电脑查出病毒的过程中，防病毒软件通过对有毒软件的检测， 将软件行为与恶意代码行为模型进行匹配，判断出该软件存在恶意代码，这种方式属于（）<br>
A：'简单运行</p>
<p>B：'行为检测</p>
<p>C：'特征数据匹配</p>
<p>D：'特征码扫描</p>
<p>答案：B_题干中“将软件行为与恶意代码行为模型进行匹配”体现是对行为的检测。在防病毒软件中对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。</p>
<p>第396题.信息安全风险值应该是以下哪些因素的函数？（）<br>
A：'信息资产的价值、面临的威胁以及自身存在的脆弱性</p>
<p>B：'病毒、黑客、漏洞等</p>
<p>C：'保密信息如国家秘密、商业秘密等</p>
<p>D：'网络、系统、应用的复杂程度</p>
<p>答案：A_</p>
<p>第397题.<br>
管理层应该表现对（）、程序和控制措施的进行支持，并以身作则。管理职责要确保雇员和承包方人员都了解（ ），其（ ）角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，并定期组织信息安全（）组织要建（ ）</p>
<p>答案：_&lt;pstyle="margin:0pt0pt0.0001pt"&gt;&lt;spanstyle="font-size:12pt"&gt;&lt;spanstyle="font-size:12.0000pt"&gt;&lt;spanstyle="font-family:微软雅黑"&gt;&lt;fontface="微软雅黑"&gt;管理层应该表现对（信息安全政策&lt;fontface="微软雅黑"&gt;），程序和控制措施的支持，并以身作则。管理职责要确保雇员和承包方人员都了解其（应遵守的信息安全政策、程序和控制措施&lt;fontface="微软雅黑"&gt;）角色和职责，并遵守相应的条款和条件。组织要建立信息安全意识计划，&lt;fontface="微软雅黑"&gt;并定期组织信息安全（&lt;fontface="微软雅黑"&gt;宣传、教育和培训）</p>
<p>第398题.主要的信息安全服务分为（ ）、（ ）、（ ）、（ ）、访问控制<br>
A：'访问控制、数据加密</p>
<p>B：'访问控制、加密、密秘性</p>
<p>C：'访问控制、加密、数据完整性、序列</p>
<p>D：'其他</p>
<p>答案：D_5类安全服务包括：鉴别、访问控制、数据保密性、数据完整性、抗抵赖。</p>
<p>第399题.在一个网络中，当拥有的网络域址容量不够多，或终端计算机没有必要分配静态IP 地域时，可以采用过在计算机连拔到网络时，每次为其临时在 IP 地址中选择一个IP 地址并分配的方式为（）<br>
A：'动态分配IP 地址</p>
<p>B：'静态分配IP 地址</p>
<p>C：'网络域址转换分配地址</p>
<p>D：'手动分配</p>
<p>答案：A_</p>
<p>第400题.信息安全风险管理地基于（）的信息安全管理，也就是，始终以( )为主线进行信息安全的管理。（）的不同来理解信息安全风险管理的侧重点，即（）选择的应用和对象重点应有所不同。<br>
A：'风险；风险；信息系统；风险管理</p>
<p>B：'风险；风险；风险管理；信息系统</p>
<p>C：'风险管理；信息系统；风险；风险</p>
<p>D：'风险管理；风险；风险；风险；信息体统</p>
<p>答案：A_A教材第102页，风险管理概念，背下来，要理解。</p>
<p>第401题.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案。在向主管领导些报告施，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条是（）<br>
A：'应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式</p>
<p>B：'应急预案是提高应对网络和信息系统突发事件能力，减少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段</p>
<p>C：'编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设</p>
<p>D：'应急预案是保障单位业务系统信息安全的重要措施</p>
<p>答案：C_</p>
<p>第402题.数据链路层负责监督相邻网络节点的信息流动，用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题，数据链路层的数据单元是（）<br>
A：'报文</p>
<p>B：'比特流</p>
<p>C：'帧</p>
<p>D：'包</p>
<p>答案：C_</p>
<p>第403题.CISP 职业道德包括诚实守信，遵纪守法，主要有（ ）、（ ）、（ ）<br>
A：'不通过计算机网络系统进行造谣、欺诈、弄虚作假等违反诚信原则的行为； 不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件</p>
<p>B：'热爱信息安全工作岗位和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责的提出应对信息安全问题的建设和帮助</p>
<p>C：'自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为</p>
<p>D：'通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升安全实践能力，以 CISP 身份为荣，积极参与各种证后活动， 避免任何损害CISP 声誉形象的行为</p>
<p>答案：A_A是和题干中的衔接部分的。</p>
<p>第404题.某公司财务服务器收到攻击被攻击者删除了所有用户数据，包括系统日志， 公司网络管理员在了解情况后，给出了一些解决措施建议，作为信息安全主管， 你必须支持不恰当的操作并阻止此次操作（）<br>
A：'由于单位内无专业网络安全应急人员，网站管理员希望出具授权书委托书某网络安全公司技术人员对本次攻击进行取证</p>
<p>B：'由于公司缺乏备用磁盘，因此计划特恢复服务器上被删除的日志文件进行本地恢复后再提取出来进行取证</p>
<p>C：'由于公司缺乏备用磁盘，因此网络管理员申请采购与服务器磁盘同一型号的硬盘用于存储恢复出来的数据</p>
<p>D：'由于公司并无专业网络安全应急人员，因此由网络管理员负责此次事件的应急协调相关工作</p>
<p>答案：B_因为破坏了证据。</p>
<p>第405题.在你对终端计算机进行Ping 操作，不同操作系统回应的数据包含中初始 ITL 值是不同的，ITL 是 IP 协议包中的一个信，它告诉网络，数据包在网络中的时间是否太长而应被丢弃。（简而言之，你可以通过 TTL 值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL 值，可以大致判断（）<br>
A、内存容量<br>
A：'内存容量</p>
<p>B：'操作系统的类型</p>
<p>C：'对方物理位置</p>
<p>D：'对方的 MAC 地址</p>
<p>答案：B_</p>
<p>第406题.<br>
（ ）攻击是建立在人性“弱点”利用基础上的攻击，大部分的社会工程学攻击都是经过（ ）才能实施成功的。即时是最简单的“直接攻击”也需要进行（ ）。如果希望受害者接受攻击者所伪装的（ ）</p>
<p>A：'</p>
<p>B：'</p>
<p>C：'</p>
<p>D：'</p>
<p>答案：_&lt;pstyle="margin:0pt0pt0.0001pt"&gt;&lt;spanstyle="font-size:12pt"&gt;&lt;spanstyle="line-height:150%"&gt;&lt;spanstyle="font-size:12.0000pt"&gt;&lt;spanstyle="font-family:微软雅黑"&gt;&lt;fontface="微软雅黑"&gt;教材“社会工程学攻击”部分。（社会工程学攻击）、（精心策划）、（前期准备）、（身份）。尽管都理解，但只有和原文一样才能得分。</p>
<p>第407题.恶意软件分析是快速准确的识别实际上是虚拟化技术的应用，是动态分析中广泛采用的一种技术<br>
A：'动态分析是指在虚拟进行环境中</p>
<p>B：'动态分析针对性强，并具有较高的</p>
<p>C：'动态分析通过对其文件的分析</p>
<p>D：'动态分析通过监控系统进程，文件和注册表等方面出现的</p>
<p>答案：A_题目不全，但是请记住答案。此题目考核的是“动态分析”内容。</p>
<p>第408题.安全评估技术采用（ ）这一工具，它是一种能够自动检测远程本地和网络安全程序。<br>
A：'安全扫描器</p>
<p>B：'安全扫描仪</p>
<p>C：'自动扫描器</p>
<p>D：'自动扫描仪</p>
<p>答案：A_</p>
<p>第409题.小张在一个不知名的网站上下载了鲁大师并进行安装，电脑安全软件提示该软件有恶意，小张急出一身冷汗， 因为他知道恶意代码将随之进入系统后会对他的系统信息安全造成很大的威胁，能检查恶意代码的转的实现方式不包括（）<br>
A：'攻击者在获得系统的上传受限后，将恶意代码部署到目标系统</p>
<p>B：'恶意代码自身就是软件的一部分，随软件部署传播</p>
<p>C：'内嵌在软件中，当文件被执行时进入目标系统</p>
<p>D：'恶意代码通过网上激活</p>
<p>答案：D_恶意代码一般不需要激活。</p>
<p>第410题.操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境，操作系统提供了更好的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不而下的破绽，都给网络安全留下隐患。某公司的网络维护师为实现该公司操作系统的安全目标， 按书中所学建立了相应的安全机制，这些机制不包括（）<br>
A：'标识与鉴别</p>
<p>B：'访问控制</p>
<p>C：'权限管理</p>
<p>D：'网络云盘存取保护</p>
<p>答案：D_</p>
<p>第411题.<br>
信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防措施，也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，在下面的应急响应管理流程图中，空白方框处填写正确的选项是 （ ）<img alt="" src="./index_files/15820914769287.png" style="width: 400px; height: 110px;"></p>
<p>答案：_&lt;pstyle="margin:0pt0pt0.0001pt"&gt;&lt;spanstyle="font-size:12pt"&gt;&lt;spanstyle="font-size:12.0000pt"&gt;&lt;spanstyle="font-family:微软雅黑"&gt;&lt;spanstyle="color:#000000"&gt;&nbsp;&lt;fontface="微软雅黑"&gt;答案：复习应急响应的流程，准备、检测、遏制、根除、恢复、跟踪总结。</p>
<p>第412题.风险处理是依据（ ），选择和实施合适的安全措施，风险处理的目的是为了（ ）始终控制在可接受的范围内，风险处理的方式主要有（ ）、（ ）、（ ）、和（ ） 四种方式<br>
A：'风险；风险评估的结果；降低；规避；转移；接受</p>
<p>B：'风险评估的结果；风险；降低；规避；转移；接受</p>
<p>C：'风险评估；风险；降低；规避；转移；接受</p>
<p>D：'风险；风险评估；降低；规避；转移；接受</p>
<p>答案：B_</p>
<p>第413题.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程。下列选项中不属于风险评估要素的是（）<br>
A：'资产</p>
<p>B：'脆弱性</p>
<p>C：'威胁</p>
<p>D：'安全需求</p>
<p>答案：D_</p>
<p>第414题.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是制访问控制产生了分歧。小李应该采用自主访问控制的方法，他的观点主要有：(1)自主访问控制方式，为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；（2）自主访问控制可以抵御木马程序的攻击，小刘认为应该采用强制访问控制的方法、他的观点主要有：（3）强制访问控制中，只有文件拥有者可以修改文件的安全属性，因此安全性较高；（4）强制访问控制能够保护敏感信息，以上四个观点中，有一个观点是正确的，它是（ ）<br>
A：'观点（1）</p>
<p>B：'观点（2）</p>
<p>C：'观点（3）</p>
<p>D：'观点（4）</p>
<p>答案：D_</p>
<p>第415题.基于对（）的信任，当一个请求或命令来自一个“权威”人士时，这个请求就可能被不怀疑的（）。在（）中，攻击者伪装成“公安部门”人员，要求受害者转账到所谓“安全账户”就是利用了受害者对权威的信任。在（）中，攻击者可能伪装成监管部门、信息系统管理人员等身份，去要求受害者执行操作。例如伪装成系统管理员，告诉用户请求配合进行一次系统测试，要求（）等。<br>
A：'权威；执行； 电信诈骗；网络攻击；更改密码</p>
<p>B：'权威；执行；网络攻击； 电信诈骗；更改密码</p>
<p>C：'执行；权威；电信诈骗；网络攻击； 更改密码</p>
<p>D：'执行；权威；网络攻击；电信诈骗；更改密码</p>
<p>答案：A_</p>
<p>第416题.软件开发模型是指对软件开发安全部过程、活动和任务的结构框架，最早出现的软件开发模型是 1970 年 W.Royce 提出的瀑布模型，常见模型的模型有演化模型、螺旋模型、喷泉模型、智能模型等。下列软件开发模型中，支持需求不明确， 特别是大型软件系统的开发。并支持多软件开发的方法的模型是（）<br>
A：'原型模型</p>
<p>B：'瀑布模型</p>
<p>C：'喷泉模型</p>
<p>D：'螺旋模型</p>
<p>答案：D_</p>
<p>第417题.物理安全是一个非常关键的领域，包括环境安全、设施安全与传输安全。其中，信息系统的设施作为直接存储、处理数据的载体，其安全性对信息系统至关重要。下列选项中，对设施安全的保障措施的描述正确的是()<br>
A：'安全区域不仅包含物理区域，还包含信息系统等软件区域</p>
<p>B：'建立安全区域需要建立安全屏蔽及访问控制机制</p>
<p>C：'由于传统门容易被破解，因此禁止采用门的方式进行边界防护</p>
<p>D：'闭路电视监控系统的前端设备包括摄像机、数字式控制录像设备，后端设备包括中央控制设备、监视器等</p>
<p>答案：B_设施安全要了解安全区域、边界防护、审计及监控的概念。闭路电视监控系统主要由前端数据采集设备以及后端控制设备组成。前端设备包括摄像机，通常布置在机房出入口、设备操作台位置。后端设备由数字式控制录像设备、监视器等中央控制设备组成，根据要求可在需要时对视屏信号进行记录，同时引出监控视频信号在监视器上，供值班人员工作使用。</p>
<p>第418题.对于信息安全风险评估，下列选项中正确的是（）<br>
A：'风险评估只需要实施一次就可以</p>
<p>B：'风险评估应该根据变化了的情况定期或不定期的适时地进行</p>
<p>C：'风险评估不需要形成文化评估结果报告</p>
<p>D：'风险评估仅对网络做定期的扫面就行</p>
<p>答案：B_</p>
<p>第419题.下列选项中，与面向构件提供者的构件测试目标无关的是()<br>
A：'检查为特定项目而创建的新构件的质量</p>
<p>B：'检查在特定平台和操作环境中构件的复用、打包、和部署</p>
<p>C：'尽可能多地揭示构件错误</p>
<p>D：'验证构件的功能、借口、行为和性能</p>
<p>答案：A_A是面向构件复用者的测试目标</p>
<p>第420题.下列关于测试方法的叙述不正确的是（）<br>
A：'从某种角度上讲，白盒测试与黑盒测试都属于动态测试</p>
<p>B：'功能测试属于黑盒测试</p>
<p>C：'结构测试属于白盒测试</p>
<p>D：'对功能的测试通常是要考虑程序的内部结构的</p>
<p>答案：D_</p>
<p>第421题.小王学习了灾难备份的有关知识，了解到常用的数据备份方式包括完全备份、增量备份、差量备份，为了巩固所学知识，小王对这三种备份方式进行对比，其中在数据恢复速度方面三种备份方式由快到慢的顺序是（）<br>
A：'完全备份、增量备份、差量备份</p>
<p>B：'完全备份、差量本份、增量备份</p>
<p>C：'增量备份、差量备份、完全备份</p>
<p>D：'差量备份、增量备份、完全备份</p>
<p>答案：B_完全备份，空间使用最多，备份速度最慢，恢复速度最快；增量备份，空间使用最少，备份速度最快，恢复速度最慢。</p>
<p>第422题.在极限测试过程中，贯穿始终的是()<br>
A：'单元测试和集成测试</p>
<p>B：'单元测试和系统测试</p>
<p>C：'集成测试和验收测试</p>
<p>D：'集成测试和系统测试</p>
<p>答案：D_极限测试主要由两种类型的测试组成：单元测试和验收测试，是极限测试中的重要两个过程，C贴近。题目有争议，但是诸多讲师都认为选择D，没有原因。</p>
<p>第423题.在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障模型》<br>
A：'保障要素、生命周期和运行维护</p>
<p>B：'保障要素、生命周期和安全特征</p>
<p>C：'规划组织、生命周期和安全特征</p>
<p>D：'规划组织、生命周期和运行维护</p>
<p>答案：B_</p>
<p>第424题.以下哪些不是《国家网络安全空间战略》中产生的我国网络空间当前任务？<br>
A：'捍卫网络空间主权</p>
<p>B：'保护关键信息基础设施</p>
<p>C：'提升网络空间防护能力</p>
<p>D：'阻断与国外网络连接</p>
<p>答案：D_</p>
<p>第425题.王明买了一个新的蓝牙耳机，但王明听说使用蓝牙设备有一定的安全威胁， 于是王明找到蓝牙技术有所了解的王红，希望王红能够给自己一点建议，以下哪一条建议不可取（）<br>
A：'在选择使用蓝牙设备时，应考虑设备的技术实现及设置是否举办防止上述安全威胁的能力</p>
<p>B：'选择使用功能合适的设备而不是功能尽可能多的设备、就尽量关闭不使用的服务及功能</p>
<p>C：'如果蓝牙设备丢失，最好不要做任何操作</p>
<p>D：'在配对时使用随机生成的密钥、不使用时设置不可被其他蓝牙设备发现</p>
<p>答案：C_</p>
<p>第426题.某公司正在进行IT 系统灾难恢复测试，下列问题中哪个最应该引起关注（）<br>
A：'由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试</p>
<p>B：'在测试的过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败</p>
<p>C：'在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间</p>
<p>D：'每年都是由相同的员工执行测试，由于所有的参与者都很熟悉每一个恢复步骤， 因而没有使用灾难恢复计划(DRP)文档</p>
<p>答案：D_</p>
<p>第427题.Hadoop 是目前广泛应用的大数据处理分析平台。在 Hadoop1.0.0 版本之前，<br>
Hadoop 并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与服务器进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到 Hadoop 集群上，恶意的提交作业，纂改分布式存储的数据，伪装成 NameNode 或者 TaskTracker 接受任务等。在 Hadoop2.0 中引入了Kerberos 机制来解决用户到服务器的认证问题，Kerberos 的认证过程不包括（）<br>
A：'获得票据许可票据</p>
<p>B：'获得服务许可票据</p>
<p>C：'获得密钥分配中心的管理权限</p>
<p>D：'获得服务</p>
<p>答案：C_</p>
<p>第428题.下面哪个阶段不属于软件的开发时期（）<br>
A：'详细设计</p>
<p>B：'总体设计</p>
<p>C：'编码</p>
<p>D：'需求分析</p>
<p>答案：D_软件开发共有：需求分析，总体设计，详细设计，系统实现，测试和验收等几个阶段。软件生存期分为3个时期：计划时期、开发时期、运行时期。需求分析是计划时期；详细设计、系统设计和编码和测试都属于软件开发阶段。</p>
<p>第429题.信息可以以多种形式存在。它可以打印写在纸上、以（ ）、用邮寄或电子手段传递、呈现在 信息可以以多种形式存在。它可以打印写在纸上、以（）、用邮寄或电子手段传递、呈现在片上使用是（ ）。无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当的保护。（）是保护信息受各种威胁的损害，以确保业务（   ），业务风险最小化，投资回报和（   ）<br>
A：'语言表达；电子方式存储；信息安全；连续性；商业机遇最大化</p>
<p>B：'电子方式存储；语言表达；连续性；信息安全；商业机遇最大化</p>
<p>C：'电子方式存储；连续性；语言表达；信息安全；商业机遇最大化</p>
<p>D：'电子方式存储；语言表达；信息安全；连续性；商业机遇最大化</p>
<p>答案：D_</p>
<p>第430题.以下对Kerberos 协议过程说法正确的是（）<br>
A：'协议可分为两个步骤：一是用户身份鉴别；二十获取请求服务</p>
<p>B：'协议可分为两个步骤：一是获得票据许可票据；二十获取请求服务</p>
<p>C：'协议可分为三个步骤；一是用户身份鉴别；二十获得票据；三是获得服务许可票据</p>
<p>D：'协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据； 三是获得服务</p>
<p>答案：D_</p>
<p>第431题.数据库是一个单位或是一个应用领域的通用数据处理系统,它存储的是属于企业和事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发建立的,按一定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要的存取路径,且数据不再针对某一应用,而是面向全组织,具有整体的结构化特征。数据库作为应用系统数据存储的系统,毫无疑问会成为信息安全的重点防护对象。数据库安全涉及到数据资产的安全存储和安全访问,对数据库安全要求不包括下列( )<br>
A：'向所有用户提供可靠的信息服务</p>
<p>B：'拒绝执行不正确的数据操作</p>
<p>C：'拒绝非法用户对数据库的访问</p>
<p>D：'能跟踪记录,以便为合规性检查、安全责任审查等提供证据和迹象等</p>
<p>答案：A_</p>
<p>第432题.组织应依照已确定的访问控制策略限制对信息和（ ）功能的访问。对访 问的限制要基于各个业务应用要求。访问控制策略还要与组织的访问策略一致。应建立安全登录过程控制实现对系统和应用的访问。宜选择合适的身份验证技术 以验证用户身份。在需要强认证和（ ）时，宜使用如加密、智能卡、令牌 或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保 使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用， 应加以限制并（ ）。对程序源代码和相关事项《例如设计、说明书、验证计 划和确认计划》的访问宜严格控制，以防引非授权功能、避免无意识的变更和维 持有价值的知识产权的（ ）。对于程序源代码的保存，可以通过这种代码的 中央存储控制来实现，更好的是放在（  ）中。<br>
A：'应用系统；身份验证；严格控制；保密性；源程序库</p>
<p>B：'身份验证；应用系统；严格控制；保密性；源程序库</p>
<p>C：'应用系统；严格控制；身份验证；保密性；源程序库</p>
<p>D：'应用系统；保密性；身份验证；严格控制；源程序库</p>
<p>答案：A_</p>
<p>第433题.<br>
OSI 模型把网络通信工作分为七层，如图所示，OSI 模型的每一层只与相邻的上下两层直接通信，当发送进程需要发送信息时，它把数据交给应用层。应用层对数据进行加工处理后，传给表示层。再经过一次加工后，数据被送到会话层。这一过程一直继续到物理层接收数据后进行实际的传输，每一次的加工又称为数据封装。其中IP 层对应OSI 模型中的哪一层（<img alt="" src="./index_files/15820874741181.png" style="width: 400px; height: 300px;"></p>
<p>A：'会话层</p>
<p>B：'传输层</p>
<p>C：'应用层</p>
<p>D：'网络层</p>
<p>答案：D_</p>
<p>第434题.方法指导类标准主要包括GB/T-T25058-2010-《信息安全技术信息系统安全等级保护实施指南》GB / T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保护实施指南》原以()政策文件方式发布,后修改后以标准发布。这些标准主要对如何开展()做了详细规定。状况分析类标准主要包括GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T 284492012《信息安全技术信息系统安全等级保护测评过程指南》等。其中在()工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。这些标准主要对如何开展( )工作做出了( )<br>
A：'公安部；等级保护试点；等级保护工作；等级保护测评；详细规定</p>
<p>B：'公安部；等级保护工作；等级保护试点；等级保护测评；详细规定</p>
<p>C：'公安部；等级保护工作；等级保护测评；等级保护试点；详细规定</p>
<p>D：'公安部；等级保护工作；等级保护试点；详细规定；等级保护测评</p>
<p>答案：B_</p>
<p>第435题.由于病毒攻击、非法入侵等原因,校园网整体瘫_,或者校园网络中心全部DNS 主WEB 服务器不能正常工作;由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成校园网出口中断,属于以下哪种级别事件( )<br>
A：'特别重大事件</p>
<p>B：'重大事件</p>
<p>C：'较大事件</p>
<p>D：'一般事件</p>
<p>答案：D_</p>
<p>第436题.信息安全风险评估的方式包括（ ）<br>
A：'定量评估、定性评估、组合评估</p>
<p>B：'定量评估、定点评估、组合评估</p>
<p>C：'条件评估、完整评估、组合评估</p>
<p>D：'自评估、检查评估</p>
<p>答案：D_随着互联网的迅速发展、web信息的增加，用户要在信息海洋里查找自己所需的信息。就像大海捞针一样，搜索引擎技术很好解决了这一难题。以下关于搜索引擎技术特点的描述中错误的是（）</p>
<p>第437题.<br>
随着互联网的迅速发展、web 信息的增加，用户要在信息海洋里查找自己所需的信息。就像大海捞针一样，搜索引擎技术很好解决了这一难题。以下关于搜索引擎技术特点的描述中错误的是（ ）<img alt="" src="./index_files/15820907954528.png" style="width: 400px; height: 295px;"></p>
<p>A：'搜索引擎以一定的策略在web 系统中搜索和发现信息</p>
<p>B：'搜索引擎可以分为目录导航式与网页索引式</p>
<p>C：'搜索器在Internet 上逐个访问web 站点，并建立一个网站的关键字列表索引器功能是理解搜索器获取的信息，向用户显示查询结果</p>
<p>D：'索引器功能是理解搜索器获取的信息，向用户显示查询结果</p>
<p>答案：B_目前，搜索引擎技术按信息标引的方式可以分为目录式搜索引擎、机器人搜索引擎和混合式搜索引擎；按查询方式可分为浏览式搜索引擎、关键词搜索引擎、全文搜索引擎、智能搜索引擎；按语种又分为单语种搜索引擎、多语种搜索引擎和跨语言搜索引擎等。</p>
<p>第438题.ZigBee  主要的信息安全服务为（ ）、（ ）、（ ）、（ ），访问控制使设备能够成，   ，为了实现访问控制，设备必须在 ACL 中维护一个（ ），表明 黑客接受来自运动设备的限制，数据加密使用的秘钥可能从一组设备共享，或者两两共享，数据加密服务了  ，数据（ ）主要是利用消息完整性校验码保证没有秘钥的节点不会修改传输中的消息，进一步确认消息来自一个知道（ ）的节点。<br>
A：'访问控制、数据加密、数据完整性、序列抗重播保护；消息列表；完整性；密钥</p>
<p>B：'访问控制、加密、完整性、序列抗重播保护、设备列表；完整性；密钥</p>
<p>C：'访问控制、加密、数据完整性、序列抗重播保护、列表；完整性；密钥</p>
<p>D：'访问控制、数据加密、数据完整性、序列抗重播、列表；完整性；密钥</p>
<p>答案：A_</p>
<p>第439题.某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划， 提出了四大培训任务和目标，关于这四个培训任务和目标，作为主管领导，以下选项中正确的是（ ）<br>
A：'由于网络安全上升到国家的高度，因此网络安全必须得到足够的重视，因此安排了对集团下属公司的总经理（一把手）的网络安全法培训</p>
<p>B：'对下属单位的网络安全管理人员实施全部安全培训，计划全员通过 CISP 持证培训以确保人员能力得到保障</p>
<p>C：'对其他信息化相关人员（网络管理员、软件开发人员）也进行安全基础培训， 使相关人员对网络安全有所了解</p>
<p>D：'对全体员工安排信息安全意识及基础安全知识培训，实现全员信息安全意识教育</p>
<p>答案：D_此题目跟647题干、选项相同，但是提问方式不同，647题问的是不合理的选择C。但是因为CISP均为单选题，故建议选择D。</p>
<p>第440题.组织信息应按照其特殊要求、价值、对泄漏或篡改的（ ）和关键性予以分类， 信息资产的所有者应对其分类负责。分类的结果表明了（ ），该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类， 标记的规程需要涵盖物理和电子格式的（ ）。分来信息的标记和安全处理是信息共享的一个关键要素。（ ）和元数据标签是常见的格式。标记应易于辨认， 进程应对标记附着的位置和方式给出指导，并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和（ ）<br>
A：'敏感性； 数据标签；资产的价值；信息资产；交换线程</p>
<p>B：'敏感性；信息资产；资产的价值；物理标签；交换线程</p>
<p>C：'资产的价值；敏感性；信息资产；物理标签；交换线程</p>
<p>D：'敏感性；资产的价值；信息资产；物理标签；交换线程</p>
<p>答案：D_</p>
<p>第441题.杀毒软件一般是通过对代码与特征库中的特征码进行比对。判断这个文件是否是为恶意代码。如果是则进一步 系统病毒库中对该病毒的描述，从而确认其行为，达到分析的目的。下列对恶意代码静态分析的说法中，错误的是（ ）<br>
A：'静态分析不需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制</p>
<p>B：'静态分析通过查找恶意代码二进制程序中嵌入的可疑字符串。如：文件名称、URL、地址，域名、调用函数等，来进行分析判断</p>
<p>C：'静态分析检测系统函数的运行状态，数据流转换过程，能判别出恶意代码行为和正常软件操作</p>
<p>D：'静态分析方法可以分析恶意代码的所有执行路径，但是随着程序复杂度的提高，冗余路径增多，会出现分析效率很低的情况</p>
<p>答案：C_反汇编分析使用反汇编工具将恶意代码程序或感染恶意代码的程序本身转换成汇编代码，通过相关分析工具对汇编代码进行词法、语法、控制流等分析，掌握恶意代码的功能结构。由于不需要运行恶意代码，静态分析方法不会影响运行环境的安全。</p>
<p>第442题.<br>
图为一个飞机票预定系统的数据流图，图中“旅客”是（）<img alt="" src="./index_files/15820914144518.png" style="width: 400px; height: 183px;"></p>
<p>A：'数据流</p>
<p>B：'加工</p>
<p>C：'数据存储</p>
<p>D：'数据谭</p>
<p>答案：D_图中，双杠代表数据存储；箭头代表数据流；圆圈代表加工；方框代表数据的源点或终点。</p>
<p>第443题.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如 BLP、Biba、Clark-Willson 和 ChinescWall 等。小李自学了 BLP 模型，并对该模型的特点进行了总结。以下4 种对BLP 模型的描述中，正确的是（）<br>
A：'BLP 模型用于保证系统信息的完整性</p>
<p>B：'BLP 模型的规则是“向下读，向上写”</p>
<p>C：'BLP 的自主安全策略中，系统通过比较主体与客体的访问类属性控制主体对客体的访问</p>
<p>D：'BLP 的强制安全策略使用一个访问控制矩阵表示</p>
<p>答案：B_A，保证系统信息的机密性BLP模型包括自主安全策略与强制安全策略，强制安全策略为每一个主体和客体都分配了安全级，根据安全级进行访问控制。CD选项说反了。</p>
<p>第444题.建立并完善（）是有效应对社会工程学攻击的方法。通过（）的建立 ，使得信息系统用户需要遵循（）来实现某些操作，从而在一定程序上降低社会工程学的影响。例如对子用户密码的修改，由于相应管理制度的要求  ，（）需要对用户身份进行电话回拨确认才能执行，那么来自外部的攻击者就可能很难伪装成为内部工作人员来进行（），因为他还需要想办法拥有一个组织机构内部电话才能实施。<br>
A：'信息安全管理体系；安全管理制度；规范；网络管理员；社会工程学攻击</p>
<p>B：'信息安全管理体系；安全管理制度；网络管理员；规范；社会工程学攻击</p>
<p>C：'安全管理制度；信息安全管理体系；规范；网络管理员；社会工程学攻击</p>
<p>D：'规范；安全管理制度；网络管理员；信息安全管理体系；社会工程学攻击</p>
<p>答案：A_</p>
<p>第445题.（）才是系统的软肋，可以毫不夸张的说，人是信息系统安全防护体系中最不确定也是（），社会工程学攻击是一种复杂的攻击，不能等同于一般的（），很多自认为非常警惕及其小心的人，一样会被高明的（）所攻击<br>
A：'社会共程序，攻击人的因素，最脆弱的环节，欺骗方法</p>
<p>B：'人的因素，最脆弱的环节，社会工程学攻击，欺骗方法</p>
<p>C：'欺骗方法，最脆弱的环节，人的因素，社会工程学攻击</p>
<p>D：'人的因素，最脆弱的环节，欺骗方法，社会工程学攻击</p>
<p>答案：D_</p>
<p>第446题.计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷， 从而使攻击者能够在未授权的情况下访问或破坏。在病毒肆意的信息不安全时代， 某公司为减少计算机系统漏洞，对公司计算机系统进行了一下措施，其中错误的是（）<br>
A：'减少系统日志的系统开销</p>
<p>B：'禁用或删除不需要的服务，降低服务运行权限</p>
<p>C：'设置策略避免系统出现弱口令并对口令猜测进行防护</p>
<p>D：'对系统链接进行限制，通过软件防火墙等技术对系统的端口直接进行控制</p>
<p>答案：A_</p>
<p>第447题.自 ISO 27001:2006 标准发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了（ ） 的认证， 在我国， 自从 2008 年将 ISO 27001:2006 转化为国家标准 CB/T 22080:2008 以来，信息安全管理（ ）在国内进一步获得了全面推广。越来越多的行业和组织认识到（ ）的重要性，并把它作为（ ）工作之一开展起来。依据惯例，ISO 组织每 5 年左右会对标准进行一次升级。2013 年 10 月 19 日，ISO 组织正式发布了新版的信息安全管理（ ）（ISO 27001：2013）<br>
A：'体系认证；信息安全管理体系；信息安全；基础管理；体系标准</p>
<p>B：'信息安全管理体系；体系认证；信息安全；基础管理；体系标准</p>
<p>C：'信息安全管理体系；信息安全；基础管理；体系认证；体系标准</p>
<p>D：'信息安全管理体系；基础管理；体系认证；信息安全；体系标准</p>
<p>答案：B_</p>
<p>第448题.在一个软件开发的过程中，团队内部需要进行恰当合适的交流与沟通，那么开发人员和测试人员交流的纽带( )<br>
A：'软件设计报告</p>
<p>B：'软件缺陷报告</p>
<p>C：'测试说明文档</p>
<p>D：'测试执行报告</p>
<p>答案：C_</p>
<p>第449题.<br>
计划是组织根据环境的需要和自身的特点，确定组织在一定时期内的目标，并通过对计划的编制、执行和监督来协调、组织各类资源以顺利达到预期目标的过程。计划编制的步骤流程如下图所示。到空白方格的步骤为（ ）<img alt="" src="./index_files/15820900599690.png" style="width: 400px; height: 160px;"></p>
<p>A：'估计潜在的灾难事件、选择计划策略</p>
<p>B：'估计潜在的灾难事件、制定计划策略</p>
<p>C：'选择计划策略、估计潜在的灾难事件</p>
<p>D：'制定计划策略、估计潜在的灾难事件</p>
<p>答案：A_</p>
<p>第450题.银行A、B 分别用自己的信息系统为用户纪录账户余额，第三方支付C 负责银行 A 和 B 的的交易管控与备份，若银行 A 的客户与银行 B 的客户发生纠纷，C 作为唯一的掌控性交易信息的第三方，与任何一方 X 通，都不能维护客户的合法利益。为解决类似问题，他们采用了私有链技术构建仅有 A、<br>
B、C 三方X 护的半公开网络，私有链的XXXX 于（ ）<br>
A：'任何个体或者团体都可以发送交易</p>
<p>B：'独享该区块链的写入权限</p>
<p>C：'交易能够获得该区块链的有效确认</p>
<p>D：'任何人都可以参与其共享过程</p>
<p>答案：C_</p>
<p>第451题.<br>
下图是使用CC 标准进行的信息安全评估的基本过程，在图中（1）~（3）处填入构成评估相关要素的主要因素，下列选项中正确的是（ ）<img alt="" src="./index_files/15820913292964.png" style="width: 300px; height: 165px;"></p>
<p>A：'(1)评估方法学(2)最终评估结果(3)批准、认证</p>
<p>B：'(1)评估方法学(2)认证过程(3)最终评估结果</p>
<p>C：'(1)评估合理性(2)最终评估结果(3)批准、认证</p>
<p>D：'(1)评估合理性(2)认证过程(3)最终评估结果</p>
<p>答案：A_&lt;imgalt=""src="<a href="http://exam.jishiba.cn///files/attach/files/content/20200219/15820913521160.png%22style=%22width:300px;height:177px;">http://exam.jishiba.cn///files/attach/files/content/20200219/15820913521160.png"style="width:300px;height:177px;</a>"&gt;</p>
<p>第452题.Myera 在 1979 年提出了一个重要观点。使用人工和自动化的手段来运行或者测试某个系统的过程，其目的在于它是否满足规定的要求或是弄清预期结果与实际结果之间的差异，那么他认为软件测试目的是（ ）<br>
A：'证明程序正确</p>
<p>B：'验证程序无错误</p>
<p>C：'改正程序错误</p>
<p>D：'查找程序错误</p>
<p>答案：D_GlenfordJ.Myers于1979年给出测试的定义为：软件测试是为发现错误而执行的一个程序或者系统的过程。同时他给出了三个关于测试的重要观点：①测试是为了证明程序有错，而不是证明程序正确。②一个好的测试用例在于它能发现以前未发现的错误。③一个成功的测试是发现了以前未发现的错误的测试。</p>
<p>第453题.某贸易公司的 OA 系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统中的数据，由于系统备份是每周六进行一次，事件发生时间为周三,因此导致该公司三个工作日的数据丢失并使得 OA 系统在随后两天内无法访问，影响到了与公司有业务往来部分公司业务。在事故处理报告中，根据GB/Z 20986—2007《信息安全事件分级分类指南》，该事件的准确分类和定量应该是（ ）<br>
A：'有害程序事件 特别重大事件（Ⅰ级）</p>
<p>B：'信息破坏事件 重大事件（Ⅱ级）</p>
<p>C：'XXX 程序事件 较大事件（Ⅲ级）</p>
<p>D：'XXX 破坏事件 一般事件（Ⅳ级）</p>
<p>答案：D_以产生的社会影响、对经济建设有恶劣的负面影响，或者严重损害公众利益作为分级依据。具体详见教材151页</p>
<p>第454题.&lt;&lt;网络安全法&gt;&gt;共计（），（），主要内容包括：网络空间主权原则，网络运行安全制度、（）、网络信息保障制度、（）、等级保护制度、（）等。<br>
A：'9 章；49 条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度</p>
<p>B：'8 章；79 条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度</p>
<p>C：'8 章；49 条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度</p>
<p>D：'7 章；79 条；关键信息基础设施保护制度；应急和监测预警制度；网络安全审查制度</p>
<p>答案：D_</p>
<p>第455题.<br>
对于关键信息基础设施的外延范围，以下哪项是正确的？</p>
<p>A：'关键信息基础设施的认定是由国家网信部门确定，网络运营者自身及上级主管部门不能认定</p>
<p>B：'关键信息基础设施与等级保护三级以上系统范围一致。对于等级保护三级以上系统就应纳入关键信息基础设施保护范围</p>
<p>C：'关键信息基础设施的具体范围由国务院制定，鼓励网络运营者自愿参照关键信息基础设施保护标准要求开展保护</p>
<p>D：'关键信息基础设施只限于公共通信和信息服务。能源、交通、水利、金融、公共服务、电子政务这七个行业。除此以外行业的网络不能认定为关键信息基础设施</p>
<p>答案：B_详见《网络安全法》第二节第三十一条，说明了ACD错误。B选项：网络运营者应当在第三级（含）以上网络中确定关键信息基础设施</p>
<p>第456题.网络服务包括（）私有网络服务、增值网络、受控的网络安全解决方案，例如防火墙和入侵检测系统。这些服务器包括简单的未受控的宽带也包括复杂的（）。组织宜识别特殊服务的安全安排，例如（）、服务级别和管理要求，网络服务提 供商以安全方式管理商定服务的能力宜予以确定并（），还宜商定（）。组织宜确保网络服务提供商实施了这些措施。<br>
A：'接入服务；定期监视；增值的提供；安全特性；审核的权利</p>
<p>B：'接入服务；安全特性；增值的服务；定期监视；审核的权力</p>
<p>C：'增值的服务；接入服务；安全特性；定期监视；审核的权力</p>
<p>D：'接入服务；增值的提供；安全特性；定期监视；审核的权力</p>
<p>答案：D_</p>
<p>第457题.SSAM  过程的主要工作产品是（）和）（）。（）包括（）和（）。（）表示组织的每个 PA 的能力水平。（）考察了评估组织的优缺点。它通常是为被评估方开发的，但可以一被评估方的要求提交给评估组织。评估报告仅供被评估方使用， 并包括每个调查结果及其对被评估方需求影响的详细信息。<br>
A：'评估报告；调查结果简报；评估结果简报；评估资料；评估结果清单；评级概况；调查结果</p>
<p>B：'调查结果简报；评估报告；评估结果简报；评估资料；评估结果清单；评级概况；调查结果</p>
<p>C：'调查结果简报；评估报告；评估资料；调查结果简报；评估结果清单；评级概况；调查结果</p>
<p>D：'调查结果简报；评估报告；评估结果简报；评级概况；评估资料；评估结果清单；调查结果</p>
<p>答案：B_</p>
<p>第458题.在新的信息系统或增强已有( )的业务要求陈述中，应规定对安全控制措施的要求。信息安全的系统要求与实施安全的过程宜在信息系统项目的早期阶段被集成， 在早期如设计阶段引入控制措施的更高效和节省。如果购买产品，则宜遵循一个正式的（）过程。通过（）访问的应用易受到许多网络威胁，如欺诈活动、合同争端和信息的泄露或修改。因此要进行详细的风险评估并进行适当的控制， 包括验证和保护数据传输的加密方法等，保护在公共网络上的应用服务以防止欺诈行为、合同纠纷以及未经授权的( )。应保护涉及到应用服务交换的信息以防不完整的传输、路由错误、未经授权的改变、擅自披露、未经授权的( )。<br>
A：'披露和修改；信息系统；测试和获取；公共网络；复制或重播</p>
<p>B：'信息系统；测试和获取；披露和修改；公共网络；复制或重播</p>
<p>C：'信息系统；测试和获取；公共网络；披露和修改；复制或重播</p>
<p>D：'信息系统；公共网络；测试和获取；披露和修改；复制或重播</p>
<p>答案：C_</p>
<p>第459题.机房中大量的电子设备在与水的接触中会导致损坏的事故，即使在未运行期间，与水接触也会对计算机系统造成损坏。因此在机房环境安全策略和安全措施中， 都需要考虑解决水带来的安全问题。某公司在为机房选址和布置机房环境时考虑了 这些措施:①将机房建在顶层，②在机房周围设置防水区，③主供水管避开机房顶部，④地板部署水浸探测器，⑤使用专用精密空调保持机房恒温恒湿，其中属于防水措施的有（）<br>
A：'①④</p>
<p>B：'②③</p>
<p>C：'③⑤</p>
<p>D：'③④</p>
<p>答案：D_</p>
<p>第460题.即使最好用的安全产品也存在()。结果，在任何的系统中都敌手最终能够找出一个被开发出的漏洞。一种有效的对策是在敌手和它的目标之间配备多个(。这些机制中的每一-个都必须是敌手的唯一的障碍。进而，每一个机制都应包括() 两种手段。这些手段增加了敌手被检测的风险，减少了他们成功的机会或成功渗透的机会。在网络()边界装配嵌套防火墙(与入侵检测结合)是分层保卫的实例。内部防火墙支持更细粒度的（）和（）<br>
A：'安全机制；内部缺点；保护和检测；外边和内部；访问控制；数据滤波</p>
<p>B：'内部缺点；安全机制；保护和检测；外边和内部；访问控制；数据滤波</p>
<p>C：'内部缺点；保护和检测；安全机制；外边和内部；访问控制；数据滤波</p>
<p>D：'内部缺点；安全机制；外边和内部；保护和检测；访问控制；数据滤波</p>
<p>答案：B_</p>
<p>第461题.下列选项中对信息系统审计概念的描述中不正确的是（）<br>
A：'信息系统审计，也可称作IT 审计或信息系统控制审计</p>
<p>B：'信息系统审计是一个获取并评价证据的过程，审计对象是信息系统相关控制， 审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性</p>
<p>C：'信息系统审计是单一的概念， 是对会计信息系统的安全性、 有效性进行检查</p>
<p>D：'从信息系统审计内容上看，可以将信息系统审计分为不同专项审计，例如安全审计、项目合规审计、绩效审计等</p>
<p>答案：C_</p>
<p>第462题.<br>
风险，在GB/T 22081 中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等:目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标 和过程目标等。ISO/IEC 13335 -1 中揭示了风险各要素关系模型。如图所示。请结合此图，怎么才能降低风险对组织产生的影响? （）<img alt="" src="./index_files/15820876217591.png" style="width: 300px; height: 200px;"></p>
<p>A：'组织应该根据风险建立响应的保护要求，通过构架防护措施降低风险对组织产生的影响</p>
<p>B：'加强防护措施。降低风险</p>
<p>C：'减少威胁和脆弱点降低风险</p>
<p>D：'减少资产降低风险</p>
<p>答案：A_</p>
<p>第463题.<br>
完整性约束指的是为了防止不符合规范的数据进入数据库，在用户对数据进行接入、修改、删除等操作XXX 按照一定的约束条件对数据进行监测，使不符合规范的数据不能进入数据库，以确保数据库中存储 XCXX 有效、相容，有一个关系：学生（学号、姓名、系别），规定学号的数据是 8 个数字组成的字符串，这一规则属于（）<img alt="" src="./index_files/15820925161828.jpg" style="width: 400px; height: 126px;"></p>
<p>A：'实体完整性约束</p>
<p>B：'参照完整性约束</p>
<p>C：'用户自定义完整性约束</p>
<p>D：'关键字完整性约束</p>
<p>答案：C_</p>
<p>第464题.下列关于软件安全开发中的 BSI（Build Security In)系列模型说法错误的是（）<br>
A：'BIS 含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外</p>
<p>B：'软件安全的三根支柱是风险管理、软件安全触点和安全测试</p>
<p>C：'软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式</p>
<p>D：'BSI 系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分</p>
<p>答案：B_三根支柱分别是风险管理安全接触点安全知识</p>
<p>第465题.<br>
在现实的异构网络环境中，越来越多的信息需要实现安全的互操作。即进行跨域信息交换和处理。Kerberos 协议不仅能在域内进行认证，也支持跨域认证，下图显示的是 Kerberos 协议实现跨域认证的 7 个步骤，其中有几个步骤出现错误，图中错误的描述正确的是：<img alt="" src="./index_files/15820912621680.png" style="width: 300px; height: 240px;"></p>
<p>A：'步骤 1 和步骤 2 发生错误，应该向本地 AS 请求并获得远程 TGT</p>
<p>B：'步骤 3 和步骤 4 发生错误，应该向本地 TGS 请求并获得远程 TGT</p>
<p>C：'步骤 5 和步骤 6 发生错误，应该向远程 AS 请求并获得远程 TGT</p>
<p>D：'步骤 5 和步骤 6 发生错误，应该向远程 TGS 请求并获得远程 TGT</p>
<p>答案：B_图中步骤3与步骤4应请求并获得远程发放许可票据TGT</p>
<p>第466题.某黑客通过分析和整理某报社记者小张的博客，找到一些有用的信息，通过伪装的新闻线索，诱使其执行木马程序，从而控制了小张的电脑，并以她的电脑为攻击的端口，使报社的局域网全部感染木马病毒，为防范此类社会工程学攻击，报社不需要做的是（）<br>
A：'加强信息安全意识培训，提高安全防范能力，了解各种社会工程学攻击方法，防止受到此类攻击</p>
<p>B：'建立相应的安全相应应对措施，当员工受到社会工程学的攻击，应当及时报告</p>
<p>C：'教育员工注重个人隐私保护</p>
<p>D：'减少系统对外服务的端口数量，修改服务旗标</p>
<p>答案：D_D选项不在社会工程学防范措施内</p>
<p>第467题.2016 年 9 月，一位安全研究人员在 Google Cloud IP 上通过扫描，发现了完整的美国路易斯安邦州 290 万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、正党代名和密码，以防止攻击者利用以上信息进行（） 攻击<br>
A：'默认口令</p>
<p>B：'字典</p>
<p>C：'暴力</p>
<p>D：'XSS</p>
<p>答案：B_字典攻击。在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。</p>
<p>第468题.<br>
下图中描述网络动态安全的 P2DR 模型，这个模型经常使用图形的形式来表达的下图空白处应填（）<img alt="" src="./index_files/15820912187917.png" style="width: 300px; height: 294px;"></p>
<p>A：'策略</p>
<p>B：'方针</p>
<p>C：'人员</p>
<p>D：'项目</p>
<p>答案：A_</p>
<p>第469题.<br>
如图所示，主机 A 向主机 B 发出的数据采用 AH 或者 ESP 的传输模式对流量进行保护时， 主机 A 和主机 B 的 IP 地址在应该在下列哪个范围？<img alt="" src="./index_files/15820878038439.png" style="width: 350px; height: 150px;"></p>
<p>A：'10.0.0.0~10.255.255.255</p>
<p>B：'172.16.0.0~172.31.255.255</p>
<p>C：'192.168.0.0~192.168.255.255</p>
<p>D：'不在上述范围内</p>
<p>答案：D_</p>
<p>第470题.<br>
下图排序你认为那个是正确的：<img alt="" src="./index_files/15820925799507.png" style="width: 300px; height: 158px;"></p>
<p>A：'1 是主体，2 是客体,3 是实施，4 是决策</p>
<p>B：'1 是客体，2 是主体 3 是决策，4 是实施</p>
<p>C：'1 实施，2 是客体 3 是主题，4 是决策</p>
<p>D：'1 是主体，2 是实施 3 是客体，4 是决策</p>
<p>答案：D_</p>
<p>第471题.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本，会将他的浏览器定向到旅游网站，旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站，但旅游网站已经截获了他的社交网络信息（还有他的好友们的信息），于是犯罪分子便可以躲藏在社交网站的广告后面，截获用户的个人信息了，这种向 Web 页面插入恶意 html 代码的攻击方式称为（）<br>
A：'分布式拒绝服务攻击</p>
<p>B：'跨站脚本攻击</p>
<p>C：'SQL 注入攻击</p>
<p>D：'缓冲区溢出攻击</p>
<p>答案：B_</p>
<p>第472题.<br>
下图是安全测试人员连接某远程主机时的操作界面，请您仔细分析该图，下面分析推理正确的是（）<img alt="" src="./index_files/15820926202071.png" style="width: 350px; height: 117px;"></p>
<p>A：'安全测试人员链接了远程服务器的 220 端口</p>
<p>B：'安全测试人员的本地操作系统是 Linux</p>
<p>C：'远程服务器开启了 FTP 服务，使用的服务器软件名 FTP server</p>
<p>D：'远程服务器的操作系统是windows系统</p>
<p>答案：D_软件名是Serv-u</p>
<p>第473题.某信息安全公司的团队对某款名为“红包快抢”的外挂进行分析发现此外挂是一个典型的木马后门，使黑客能够获得受害者电脑的访问权，该后门程序为了达到长期驻留在受害者的计算机中，通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击，以下做法无用的是（）<br>
A：'不下载、不执行、不接收来历不明的软件和文件</p>
<p>B：'不随意打开来历不明的邮件，不浏览不健康不正规的网站</p>
<p>C：'使用共享文件夹</p>
<p>D：'安装反病毒软件和防火墙，安装专门的木马防范软件</p>
<p>答案：C_</p>
<p>第474题.小华在某电子商务公司工作，某天他在查看信息系统设计文档时，发现其中标注该信息系统的 RPO（恢复点目标）指标为 3 小时。请问这意味着（）<br>
A：'该信息系统发生重大安全事件后，工作人员应在 3 小时内到位，完成问题定位和应急处理工 作</p>
<p>B：'该信息系统发生重大安全事件后，工作人员应在 3 小时内完整应急处理工作并恢复对外运行</p>
<p>C：'该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至少能提供3小时的紧急业务服务能力</p>
<p>D：'该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至多能丢失 3 小时的业务数据</p>
<p>答案：D_是指灾难发生后，容灾系统能把数据恢复到灾难发生前时间的数据。可简单的描述为设施能容忍的最大数据丢失量。</p>
<p>第475题.Kerberos 协议是一种集中访问控制协议，他能在复杂的网络环境中，为用户提供安全的单点登录服务。单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不在需要其他的认证过程，实质是消息 M 在多个应用系统之间的传递或共享。其中消息 M 是指以下选项中的()<br>
A：'安全凭证<br>
B、用户名</p>
<p>B：'</p>
<p>C：'加密密钥<br>
D、会话密钥</p>
<p>D：'</p>
<p>答案：A_考的是单点登录的概念</p>
<p>第476题.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现，不包括哪一项<br>
A：'物理安全边界、物理入口控制</p>
<p>B：'办公室、房间和设施的安全保护。外部和环境威胁的安全防护</p>
<p>C：'在安全区域工作。公共访问、交接区安全</p>
<p>D：'人力资源安全</p>
<p>答案：D_</p>
<p>第477题.关于信息安全管理体系的作用，下面理解错误的是<br>
A：'对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有据可查</p>
<p>B：'对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方法收入来弥补投入</p>
<p>C：'对外而言，有助于使各科室相关方对组织充满信心</p>
<p>D：'对外而言，规范工作流程要求，帮助界定双方各自信息安全责任</p>
<p>答案：B_</p>
<p>第478题.关于补丁安装时应注意的问题，以下说法正确的是<br>
A：'在补丁安装部署之前不需要进行测试，因为补丁发布之前厂商已经经过了测试</p>
<p>B：'补丁的获取有严格的标准,必须在厂商的官网上获取</p>
<p>C：'信息系统打补丁时需要做好备份和相应的应急措施</p>
<p>D：'补丁安装部署时关闭和重启系统不会产生影响</p>
<p>答案：C_</p>
<p>第479题.某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要由审核员进行审核后该删除操作才能生效，这种设计是遵循了发下哪个原则<br>
A：'权限分离原则</p>
<p>B：'最小的特权原则</p>
<p>C：'保护最薄弱环节的原则</p>
<p>D：'纵深防御的原则</p>
<p>答案：A_</p>
<p>第480题.<br>
实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图，小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的（）<img alt="" src="./index_files/15820878882947.png" style="width: 226px; height: 139px;"></p>
<p>A：'实体所知的鉴别方法</p>
<p>B：'实体所有的鉴别方法</p>
<p>C：'实体特征的鉴别方法</p>
<p>D：'实体所见的鉴别方法</p>
<p>答案：C_</p>
<p>第481题.<br>
kerberos 协议是常用的集中访问控制协议,通过可信第三的认证服务,减轻应用 Kerberos 的运行环境由秘钥分发中心（KDC）、应用服务器和客户端三个部分组成，认证服务器 AS 和票据授权服务器<img alt="" src="./index_files/15820927157295.png" style="width: 372px; height: 289px;"></p>
<p>A：'1——2——3</p>
<p>B：'3——2——1</p>
<p>C：'2——1——3</p>
<p>D：'3——1——2</p>
<p>答案：D_</p>
<p>第482题.<br>
某学员在学习国家标准《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T 20274.1-2006）后，绘制了一张简化的信息系统安全保障模型图，如下所示。请为图中括号空白处选择合适的选项（）<img alt="" src="./index_files/15820911512255.png" style="width: 300px; height: 199px;"></p>
<p>A：'安全保障（方针和组织）</p>
<p>B：'安全防护（技术和管理）</p>
<p>C：'深度防御（策略、防护、检测、响应）</p>
<p>D：'保障要素（管理、工程、技术、人员）</p>
<p>答案：D_</p>
<p>第483题.<br>
Linux 系统的安全设置中，对文件的权限操作是一项关键操作。通过对文件权限的设置，能够保障不同用户的个人隐私和系统安全。文件 fi<br>
B.c 的文件属性信息如下图所示，小张想要修改其文件权限，为文件组增加执行权限，并删除组外其他用户的写权限，那么以下操作中正确的是（）<img alt="" src="./index_files/15820900091880.png" style="width: 449px; height: 66px;"></p>
<p>A：'chmod u+x, a-w fi<br>
B.c</p>
<p>B：'#chmod ug+x, o-w fi<br>
B.c</p>
<p>C：'#chmod 764 fi<br>
B.c</p>
<p>D：'#chmod 467 fi<br>
B.c</p>
<p>答案：B_</p>
<p>第484题.通过对称密码算法进行安全消息传输的必要条件是:</p>
<p>A：'在安全的传输信道上进行通信</p>
<p>B：'通讯双方通过某种方式，安全且秘密地共享密钥</p>
<p>C：'通讯双方使用不公开的加密算法</p>
<p>D：'通讯双方将传输的信息夹杂在无用信息中传输并提取</p>
<p>答案：B_</p>
<p>第485题.<br>
某银行有 5 台交换机连接了大量交易机构的网路（如图所示），在基于以太网的通信中， 计算机 A 需要与计算机 B 通信，A 必须先广播“ARP 请求信息”，获取计算机 B 的物理地址。没到月底时用户发现该银行网络服务速度极其缓慢。银行经调查后发现为了当其中一台交换机收到 ARP 请求后，会转发给接收端口以外的其他所有端口，ARP 请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗，将广播流限制在固定区域内，可以采用的技术是（）<img alt="" src="./index_files/15820879797498.png" style="width: 300px; height: 200px;"></p>
<p>A：'VLAN 划分</p>
<p>B：'动态分配地址</p>
<p>C：'设立入侵防御系统</p>
<p>D：'为路由交换设备修改默认口令</p>
<p>答案：A_</p>
<p>第486题.Windows 系统下，哪项不是有效进行共享安全的防护措施？<br>
A：'使用 netshare\127.0.0.1\c<span class="katex"><span class="katex-mathml"><math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mi mathvariant="normal">/</mi><mi>d</mi><mi>e</mi><mi>l</mi><mi>e</mi><mi>t</mi><mi>e</mi><mtext>命令，删除系统中的</mtext><mi>c</mi></mrow><annotation encoding="application/x-tex">/delete 命令，删除系统中的 c</annotation></semantics></math></span><span class="katex-html" aria-hidden="true"><span class="base"><span class="strut" style="height:1em;vertical-align:-0.25em;"></span><span class="mord">/</span><span class="mord mathnormal">d</span><span class="mord mathnormal">e</span><span class="mord mathnormal" style="margin-right:0.01968em;">l</span><span class="mord mathnormal">e</span><span class="mord mathnormal">t</span><span class="mord mathnormal">e</span><span class="mord cjk_fallback">命令，删除系统中的</span><span class="mord mathnormal">c</span></span></span></span>等管理共享，并重启系统</p>
<p>B：'确保所有的共享都有高强度的密码防护</p>
<p>C：'禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值</p>
<p>D：'安装软件防火墙阻止外面对共享目录的连接</p>
<p>答案：A_</p>
<p>第487题.以下对 Windows 账号的描述，正确的是:</p>
<p>A：'Windows 系统是采用 SID（安全标识符）来标识用户对文件或文件夹的权限</p>
<p>B：'Windows 系统是采用用户名来标识用户对文件或文件夹的权限</p>
<p>C：'Windows 系统默认会生成 administrator 和 guest 两个账号，两个账号都不允许改名和删除</p>
<p>D：'Windows 系统默认生成 administrator 和 guest 两个账号，两个账号都可以改名和删除</p>
<p>答案：A_</p>
<p>第488题.<br>
如图一所示:主机A 和主机B 需要通过IPSec 隧道模式保护二者之间的通信流量,这种情况下 IPSec 的处理通常发生在哪二个设备中?<img alt="" src="./index_files/15820889328485.png" style="width: 400px; height: 57px;"></p>
<p>A：'主机A和安全网关1</p>
<p>B：'主机B和安全网关2</p>
<p>C：'主机A和主机B中</p>
<p>D：'安全网关1和安全网关2中</p>
<p>答案：D_隧道模式是两个网关之间</p>
<p>第489题.以下关于代替密码的说法正确的是:</p>
<p>A：'明文根据密钥被不同的密文字母代替</p>
<p>B：'明文字母不变，仅仅是位置根据密钥发生改变</p>
<p>C：'明文和密钥的每个 bit 异或</p>
<p>D：'明文根据密钥作移位</p>
<p>答案：A_</p>
<p>第490题.AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效，已经替代 DES 成为新的据加密标准。其算法的信息块长度和加密密钥是可变的，以下哪一种不是其可能的密钥长度？<br>
A：'64bit</p>
<p>B：'128bit</p>
<p>C：'192bit</p>
<p>D：'256bit</p>
<p>答案：A_</p>
<p>第491题.以下对 Windows 系统的服务描述，正确的是:</p>
<p>A：'Windows 服务必须是一个独立的可执行程序</p>
<p>B：'Windows 服务的运行不需要用户的交互登陆</p>
<p>C：'Windows 服务都是随系统启动而启动，无需用户进行干预</p>
<p>D：'Windows 服务都需要用户进行登陆后，以登录用户的权限进行启动</p>
<p>答案：B_</p>
<p>第492题.Alice 有一个消息 M 通过密钥 K2 生成一个密文 E（K2，M）然后用 K1 生成一个 MAC 为 C（K1， E（K2，M）），Alice 将密文和 MAC 发送给 Bob，Bob 用密钥 K1 和密文生成一个 MAC 并和Alice 的 MAC 比较，假如相同再用 K2 解密 Alice 发送的密文，这个过程可以提供什么安全服务 ？<br>
A：'仅提供数字签名</p>
<p>B：'仅提供保密性</p>
<p>C：'仅提供不可否认性</p>
<p>D：'保密性和消息完整性</p>
<p>答案：D_MAC是消息认证码，保证消息数据完整性的一种工具。是基于密钥和消息摘要所获得的一个值，可用于数据源发认证和完整性校验。</p>
<p>第493题.以下关于 windowsSAM(安全账号管理器)的说法错误的是:<br>
A：'安全账号管理器(SAM)具体表现就是%SystemRoot%\system32\config\sam</p>
<p>B：'安全账号管理器(SAM)存储的账号信息是存储在注册表中</p>
<p>C：'安全账号管理器(SAM)存储的账号信息 administrator 和 system 是可读和可写的</p>
<p>D：'安全账号管理器(SAM)是 windows 的用户数据库系统进程通过 Security Accounts Manager 服务进行访问和操作</p>
<p>答案：C_</p>
<p>第494题.小红和小明在讨论有关于现在世界上的IP 地址数量有限的问题,小红说他看到有新闻说在2011 年2 月3 日,全球互联网IP 地址相关管理组织宣布现有的互联网IP 地址已于当天划分给所有的区域互联网注册管理机构,IP 地址总库已经枯竭,小明吓了一跳觉得以后上网会成问题,小红安慰道,不用担心,现在IPv6 已经被试用它有好多优点呢,以下小红说的优点中错误的是( )<br>
A：'网络地址空间的得到极大扩展</p>
<p>B：'IPv6 对多播进行了改进,使得具有更大的多播地址空间</p>
<p>C：'繁杂报头格式</p>
<p>D：'良好的扩展性</p>
<p>答案：C_</p>
<p>第495题.常见密码系统包含的元素是:</p>
<p>A：'明文，密文，信道，加密算法，解密算法</p>
<p>B：'明文，摘要，信道，加密算法，解密算法</p>
<p>C：'明文，密文，密钥，加密算法，解密算法</p>
<p>D：'消息，密文，信道，加密算法，解密算法</p>
<p>答案：C_</p>
<p>第496题.社会工程学定位在计算机信息安全工作链的一个最脆弱的环节，即“人”这个环节上。这些社会工程黑客在某黑客大会上成功攻入世界五百强公司，其中一名自称是 CSO 杂志做安全调查，半小时内，攻击者选择了在公司工作两个月安全工程部门的合约雇员，在询问关于工作满意度以及食堂食物质量问题后，雇员开始透露其他信息，包括：操作系统、服务包、杀毒软件、电子邮件及浏览器。为对抗此类信息收集和分析，公司需要做的是（）<br>
A：'通过信息安全培训，使相关信息发布人员了解信息收集风险，发布信息最小化原则</p>
<p>B：'减少系统对外服务的端口数量，修改服务旗标</p>
<p>C：'关闭不必要的服务，部署防火墙、IDS等措施</p>
<p>D：'系统安全管理员使用漏洞扫描软件对系统进行安全审计</p>
<p>答案：A_</p>
<p>第497题.基于 TCP 的主机在进行一次 TCP 连接时简要进行三次握手，请求通信的主机 A 要与另一台主机 B 建立连接时，A 需要先发一个 SYN 数据包向 B 主机提出连接请示，B 收到后，回复一个 ACK/SYN 确认请示给 A 主机，然后 A 再次回应 ACK 数据包，确认连接请求。攻击通过伪造带有虚假源地址的 SYN 包给目标主机，使目标主机发送的 ACK/SYN 包得不到确认。一般情况下，目标主机会等一段时间后才会放弃这个连接等待。因此大量虚假 SYN 包同时发送到目标主机时，目标主机上就会有大量的连接请示等待确认，当这些未释放的连接请示 数量超过目标主机的资源限制时。正常的连接请示就不能被目标主机接受，这种 SYN Flood 攻击属于（）<br>
A：'拒绝服务攻击</p>
<p>B：'分布式拒绝服务攻击</p>
<p>C：'缓冲区溢出攻击</p>
<p>D：'SQL 注入攻击</p>
<p>答案：A_</p>
<p>第498题.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是（）<br>
A：'各国普遍将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点</p>
<p>B：'各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件</p>
<p>C：'各国普遍加强国际交流与对话，均同意建立一致的安全保障系统，强化各国安全系统互通</p>
<p>D：'各国普遍积极推动信息安全立法和标准规范建设，重视应急响应、安全监管和安全测评</p>
<p>答案：C_</p>
<p>第499题.公钥密码的应用不包括:<br>
A：'数字签名</p>
<p>B：'非安全信道的密钥交换</p>
<p>C：'消息认证码</p>
<p>D：'身份认证</p>
<p>答案：C_</p>
<p>第500题.hash 算法的碰撞是指:<br>
A：'两个不同的消息，得到相同的消息摘要</p>
<p>B：'两个相同的消息，得到不同的消息摘要</p>
<p>C：'消息摘要和消息的长度相同</p>
<p>D：'消息摘要比消息长度更长</p>
<p>答案：A_</p>
<p>第501题.Windows 操作系统的注册表运行命令是:</p>
<p>A：'Regsvr32</p>
<p>B：'Regedit</p>
<p>C：'Regedit.msc</p>
<p>D：'Regedit.mmc</p>
<p>答案：B_</p>
<p>第502题.视窗操作系统（Windows）从哪个版本开始引入安全中心的概念？<br>
A：'WinNT SP6</p>
<p>B：'Win2000 SP4</p>
<p>C：'WinXP SP2</p>
<p>D：'Win2003 SP1</p>
<p>答案：C_</p>
<p>第503题.DSA（数字签名算法）不提供以下哪种服务?</p>
<p>A：'数据完整性</p>
<p>B：'加密</p>
<p>C：'数字签名</p>
<p>D：'认证</p>
<p>答案：B_</p>
<p>第504题.在 Windows 文件系统中，______支持文件加密。<br>
A：'FAT16</p>
<p>B：'NTFS</p>
<p>C：'FAT32</p>
<p>D：'EXT3</p>
<p>答案：B_</p>
<p>第505题.相比 FAT 文件系统，以下那个不是 NTFS 所具有的优势？<br>
A：'NTFS 使用事务日志自动记录所有文件和文件夹更新，当出现系统损坏引起操作失败后， 系统能利用日志文件重做或恢复未成功的操作</p>
<p>B：'NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限</p>
<p>C：'对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率</p>
<p>D：'相比 FAT 文件系统，NTFS 文件系统能有效的兼容 linux 下的 EXT3 文件格式</p>
<p>答案：D_windows不支持也不识别ext3格式的分区</p>
<p>第506题.Windows NT 提供的分布式安全环境又被称为:<br>
A：'域（Domain）</p>
<p>B：'工作组</p>
<p>C：'对等网</p>
<p>D：'安全网</p>
<p>答案：A_</p>
<p>第507题.在 Windows 系统中，管理权限最高的组是:</p>
<p>A：'everyone</p>
<p>B：'administrators</p>
<p>C：'powerusers</p>
<p>D：'users</p>
<p>答案：B_</p>
<p>第508题.<br>
Windows 系统下，可通过运行命令打开 Windows 管理控制台。</p>
<p>A：'regedit</p>
<p>B：'cmd</p>
<p>C：'mmc</p>
<p>D：'mfc</p>
<p>答案：C_D是干扰项</p>
<p>第509题.在 window 系统中用于显示本机各网络端口详细情况的命令是:<br>
A：'netshow</p>
<p>B：'netstat</p>
<p>C：'ipconfig</p>
<p>D：'Netview</p>
<p>答案：B_</p>
<p>第510题.以下哪些问题或概念不是公钥密码体制中经常使用到的困难问题?</p>
<p>A：'大整数分解</p>
<p>B：'离散对数问题</p>
<p>C：'背包问题</p>
<p>D：'伪随机数发生器</p>
<p>答案：D_</p>
<p>第511题.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换?</p>
<p>A：'DSS</p>
<p>B：'Diffie-Hellman</p>
<p>C：'RSA</p>
<p>D：'AES</p>
<p>答案：C_</p>
<p>第512题.在密码学的 Kerchhof 假设中，密码系统的安全性仅依赖于( )<br>
A：'明文</p>
<p>B：'密文</p>
<p>C：'密钥</p>
<p>D：'信道</p>
<p>答案：C_</p>
<p>第513题.在 Windows XP 中用事件查看器查看日志文件，可看到的日志包括？<br>
A：'用户访问日志、安全性日志、系统日志和 IE 日志</p>
<p>B：'应用程序日志、安全性日志、系统日志和 IE 日志</p>
<p>C：'网络攻击日志、安全性日志、记账日志和 IE 日志</p>
<p>D：'网络链接日志、安全性日志、服务日志和 IE 日志</p>
<p>答案：B_</p>
<p>第514题.操作系统安全的基础是建立在:</p>
<p>A：'安全安装</p>
<p>B：'安全配置</p>
<p>C：'安全管理</p>
<p>D：'以上都对</p>
<p>答案：D_</p>
<p>第515题.<br>
下列关于 kerckhof 准则的说法正确的是：</p>
<p>A：'保持算法的秘密性比保持密钥的秘密性要困难的多</p>
<p>B：'密钥一旦泄漏，也可以方便的更换</p>
<p>C：'在一个密码系统中，密码算法是可以公开的，密钥应保证安全</p>
<p>D：'公开的算法能够经过更严格的安全性分析</p>
<p>答案：C_</p>
<p>第516题.信息发送者使用_____进行数字签名。<br>
A：'己方的私钥</p>
<p>B：'己方的公钥</p>
<p>C：'对方的私钥</p>
<p>D：'对方的公钥</p>
<p>答案：A_</p>
<p>第517题.以下列出了 mac 和散列函数的相似性,哪一项说法是错误的？<br>
A：'MAC 和散列函数都是用于提供消息认证</p>
<p>B：'MAC 的输出值不是固定长度的，而散列函数的输出值是固定长度的</p>
<p>C：'MAC 和散列函数都不需要密钥</p>
<p>D：'MAC 和散列函数都不属于非对称加密算法</p>
<p>答案：C_MAC：消息验证、完整性校验、抗重放攻击；输出不固定的；MAC需密钥；不是非对称。哈希：消息验证、完整性校验；输出是固定的；不需要密钥；不是非对称。</p>
<p>第518题.下面哪种方法产生的密码是最难记忆的？<br>
A：'将用户的生日倒转或是重排</p>
<p>B：'将用户的年薪倒转或是重排</p>
<p>C：'将用户配偶的名字倒转或是重排</p>
<p>D：'用户随机给出的字母</p>
<p>答案：D_</p>
<p>第519题.等级保护实施根据GB/T25058-2010仭缎畔踩际鮼信息系统安全等级保护实施指南》分为五大阶段；（）、总体规划、设计实施、（）和系统终止。但由于在开展等级保护试点工作时，大量信息系统已经建设完成，因此根据实际情况逐步形成了（）、备案、差距分析（也叫差距测评）、建设整改、验收测评、定期复查为流程的（）工作流程。和《等级保护实施指南》中规定的针对（）的五大阶段略有差异。<br>
A：'运行维护；定级；定级；等级保护；信息系统生命周期</p>
<p>B：'定级；运行维护；定级；等级保护；信息系统生命周期</p>
<p>C：'定级运行维护；等级保护；定级；信息系统生命周期</p>
<p>D：'定级；信息系统生命周期；运行维护；定级；等级保护</p>
<p>答案：B_</p>
<p>第520题.保护-检测-响应（Protection-Detection-Response,PDR）模型是（）工作中常用的模型，七思想是承认（）中漏洞的存在，正视系统面临的（），通过采取适度防护、加强（）、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。<br>
A：'信息系统；信息安全保障；威胁；检测工作</p>
<p>B：'信息安全保障；信息系统；检测工作；威胁；检测工作</p>
<p>C：'信息安全保障；信息系统；威胁；检测工作</p>
<p>D：'信息安全保障；威胁；信息系统；检测工作</p>
<p>答案：C_</p>
<p>第521题.信息安全方面的业务连续性管理包含2个（）和4个控制措施。组织应确定在业务连续性管理过程或灾难恢复管理过程中是否包含了（）。应在计划业务连续性和灾难恢复时确定（）。组织应建立、记录、实施并维持过程、规程和控制措施以确保在不利情况下信息安全连续性处于要求级别。在业务连续性或灾难恢复内容中，可能已定义特定的（）。应保护在这些过程和规程或支持它们的特性信息系统中处理的额信息。在不利情况下，已实施的信息安全控制措施应继续实行。若安全控制措施不能保持信息安全，应建立、实施和维持其他控制措施以保持信息安全在（）<br>
A：'信息安全连续性；控制目标；信息安全要求；过程和规程；可接受的水平</p>
<p>B：'控制目标；信息安全连续性；信息安全要求；过程和规程；可接受的水平</p>
<p>C：'</p>
<p>D：'</p>
<p>答案：B_来源中<br>
C、D选项模糊，但是Ｂ选项是正确的，详见教材中“信息安全方面的业务连续性管理”部分内容（346页和347页）</p>
<p>第522题.在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领导对客体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的自主访问控制机制的访问许可模式是（）<br>
A：'自由型</p>
<p>B：'有主型</p>
<p>C：'树状型</p>
<p>D：'等级型</p>
<p>答案：D_</p>
<p>第523题.以下关于开展软件安全开发必要性描错误的是？（）<br>
A：'软件应用越来越广泛</p>
<p>B：'软件应用场景越来越不安全</p>
<p>C：'软件安全问题普遍存在</p>
<p>D：'以上都不是</p>
<p>答案：D_</p>
<p>第524题.软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求，从而导致软件开发与维护过程中出现一系列严重问题的现象。为了克服软件危机，人们提出了用（）的原理来设计软件，这就是软件工程诞生的基础<br>
A：'数学</p>
<p>B：'软件学</p>
<p>C：'运筹学</p>
<p>D：'工程学</p>
<p>答案：D_</p>
<p>第525题.下列信息安全评估标准中，哪一个是我国信息安全评估的国家标准？（）<br>
A：'TCSEC标准</p>
<p>B：'CC标准</p>
<p>C：'FC标准</p>
<p>D：'ITSEC标准</p>
<p>答案：B_实际情况CC不是我国的标准。但是书籍说CC是我国等同采用的标准，于是就成为了CC是我国的标准。</p>
<p>第526题.灾备指标是指信息安全系统的容灾抗毁能力，主要包括四个具体指标：恢复时间目标（Recovery Time Oh jective,RTO）.恢复点目标（Recovery Point Objective,RPO）降级操作目标（Degraded Operations Ob jective-DOO）和网络恢复目标（NeLwork Recovery Ob jective-NRO）,小华准备为其工作的信息系统拟定恢复点目标RPO-O，以下描述中，正确的是（）<br>
A：'RPO-O，相当于没有任何数据丢失，但需要进行业务恢复处理，覆盖原有信息</p>
<p>B：'RPO-O, 相当于所有数据全部丢失，需要进行业务恢复处理。修复数据丢失</p>
<p>C：'RPO-O，相当于部分数据丢失，需要进行业务恢复处理，修复数据丢失</p>
<p>D：'RPO-O，相当于没有任何数据丢失，且不需要进行业务恢复处理</p>
<p>答案：D_</p>
<p>第527题.<br>
下图显示了SSAM的四个阶段和每个阶段工作内容。与之对应，（）的目的是建立评估框架，并为现场阶段准备后勤方面的工作。（）的目的是准备评估团队进行现场活动，并通过问卷进行数据的初步收集和分析。（）主要是探索初步数据分析结果，以及为被评组织的专业人员提供与数据采集和证实过程的机会，小组对在此就三个阶段中采集到的所有数据进行（）。并将调查结果呈送个发起者<img alt="" src="./index_files/15820927594191.png" style="width: 300px; height: 178px;"></p>
<p>A：'现场阶段；规划阶段；准备阶段；最终分析</p>
<p>B：'准备阶段；规划阶段；现场阶段；最终分析</p>
<p>C：'规划阶段；现场阶段；准备阶段；最终分析</p>
<p>D：'规划阶段；准备阶段；现场阶段；最终分析</p>
<p>答案：D_</p>
<p>第528题.信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的截体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测<br>
A：'基础；依据；截体；环境；永久性；风险管理</p>
<p>B：'基础；依据；截体；环境；风险管理；永久性</p>
<p>C：'截体；环境；风险管理；永久性；基础；依据</p>
<p>D：'截体；环境；基础；依据；风险管理；永久性</p>
<p>答案：D_</p>
<p>第529题.跨站请求伪造也被称为one-click attck或者session riding,通常缩写为CSRF或者XSXF，是一种挟制用户在当着已登录的Wed应用程序上执行非本意的操作的攻击方法。对于下列跨站请求伪造的描述中，错误的是（）<br>
A：'跨站请求伪造，是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法</p>
<p>B：'在跨站请求伪造中，攻击者迫使已登录Web应用程序的合法使用者执行恶意的HTTP指令，而Web应用程序当成合法请求处理，使得攻击者的恶意指令被正常执行</p>
<p>C：'利用跨站伪造请求，攻击者能让受害者用户修改该受害用户允许修改的任何数据，或者是被执行该受害用户被授用的任何功能</p>
<p>D：'</p>
<p>答案：D_由于资料来源中D选项模糊，故没有列出，但是如果出现此道题目。请各位留意D选项是否为错误的。</p>
<p>第530题.某项目组进行风险评估时由于时间有限，决定采用基于知识的分析方法，使用基于知识的分析方法进行风险评估，最重要的在于评估信息的采集，该项目组对信息源进行了讨论，以下说法中不可行的是（）<br>
A：'可以通过对当前的信息安全策略和相关文档进行复查采集评估信息</p>
<p>B：'可以通过进行实施考察的方式采集评估信息</p>
<p>C：'可以通过建立模型的方法采集评估信息</p>
<p>D：'可以制作问卷，进行调查</p>
<p>答案：C_</p>
<p>第531题.（）在实施攻击之前，需要尽量收集伪装身份(),这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的（）。那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司相关人员的绰号等等。<br>
A：'攻击者；所需要的信息；系统管理员；基础；内部约定</p>
<p>B：'所需要的信息；基础；攻击者；系统管理员；内部约定</p>
<p>C：'攻击者；所需要的信息；基础；系统管理员；内部约定</p>
<p>D：'所需要的信息；攻击者；基础；系统管理员；内部约定</p>
<p>答案：C_</p>
<p>第532题.1993年至1996年，欧美六国和美国商务部国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准，简称CC标准，该安全评估标准的全称为（）<br>
A：'《可信计算机系统评估准则》</p>
<p>B：'《信息技术安全评估准则》</p>
<p>C：'《可信计算机产品评估准则》</p>
<p>D：'《信息技术安全通用评估准则》</p>
<p>答案：D_</p>
<p>第533题.<br>
风险评估的基本要素包括脆弱性、资产、威胁、风险及安全措施，下面给出的风险评估部分基本要素之间的关系图，哪项是错误的（ ）<img alt="" src="./index_files/15820928011077.png" style="width: 363px; height: 438px;"></p>
<p>A：'</p>
<p>B：'</p>
<p>C：'</p>
<p>D：'</p>
<p>答案：D_</p>
<p>第534题.<br>
下图描绘了信息安全管理体系的PDCA模型其中，建立ISMS中，组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。组织应根据业务、组织、位置、资产和技术等方面的特性，监视和评审ISMS（）。实施和运行ISMS中，组织应为管理信息安全风险识别适当的（）、资源、职责和优选顺序，监视和评审ISMS中，组织应执行监视与评审规程和其他（）。以迅速检测过程运行结果中的错误，迅速识别图的和得逞的安全违规和事件，使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行，通过使用指示器帮助检测安全事态并预防安全事件，确定解决安全违规的措施是否有效，保持和改进ISMS中，组织应经常进行ISMS改进，采取合适的纠正和（），从其他组织和组织自身的安全经验中（）<img alt="" src="./index_files/15820928452581.png" style="width: 350px; height: 176px;"></p>
<p>A：'方针；管理措施；控制措施；预防措施；吸取措施</p>
<p>B：'方针；控制措施；管理措施；预防措施；吸取措施</p>
<p>C：'方针；预防措施；管理措施；控制措施；吸取措施</p>
<p>D：'方针；吸取措施；管理措施；控制措施；预防措施</p>
<p>答案：A_</p>
<p>第535题.某IT公司针对信息安全事件已建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业CS哦，请你指出存在在问题的是哪个总结？（）<br>
A：'公司自身拥有优秀的技术人员，系统也是自己开发的，无需进行应急演练工作，因此今年的仅制定了应急演练相关流程及文档，为了不影响业务，应急演练工作不举行</p>
<p>B：'公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段，流程完善可用</p>
<p>C：'公司应急预案包括了基础环境类、业务系统类、安全事件和其他类，基本覆盖了各类应急事件类型</p>
<p>D：'公司应急预案对事件分类依据GB/Z 20986-2007《信息安全技术信息安全事件分类分级分级指南》，分为7个基本类别，预案符合国家相关标准</p>
<p>答案：A_</p>
<p>第536题.安全审计是一种很常见的安全控制措施，它在信息全保障系统中，属于（）措施。<br>
A：'保护</p>
<p>B：'检测</p>
<p>C：'响应</p>
<p>D：'恢复</p>
<p>答案：B_</p>
<p>第537题.下列选项分别是四种常用的资产评估方法，哪个是目前采用最为广泛的资产评估方法（）。<br>
A：'基于知识的分析方法</p>
<p>B：'基于模型的分析方法</p>
<p>C：'定量分析</p>
<p>D：'定性分析</p>
<p>答案：D_</p>
<p>第538题.访问控制方法可分为自主访问控制、强制访问控制和基于角色访问控制，它们具有不同的特点和应用场景。如果需要选择一个访问控制模型，要求能够支持最小特权原则和职责分离原则，而且在不同的系统配置下可以具有不同的安全控制，那么在（1）自主访问控制，（2）强制访问控制，（3）基于角色的访问控制（4）基于规则的访问控制中，能够满足以上要求的选项有（）<br>
A：'只有（1）（2）</p>
<p>B：'只有（2）（3）</p>
<p>C：'只有（3）（4）</p>
<p>D：'只有（4）</p>
<p>答案：C_</p>
<p>第539题.<br>
系统流程图是描绘系统物理模型的传统工具。（如下图）它的基本思想是用图形符号以黑盒子形式描绘系统里面的每个部件（程序、文件、数据库、表格、人工过程等）。表达信息在各个部件之间流动的情况，那么系统流程图用于可行性分析的（）的描述。<img alt="" src="./index_files/15820899392753.png" style="width: 400px; height: 307px;"></p>
<p>A：'当前运行系统</p>
<p>B：'当前逻辑模型</p>
<p>C：'目标系统</p>
<p>D：'新系统</p>
<p>答案：B_</p>
<p>第540题.国家对信息安全建设非常重视，如国家信息化领导小组在（）中确定要求，“信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地区各部门在信息化建设中，要同步考虑信息安全建设，保证信息安全设施的运行维护费用。”国家发展改革委所下发的（）要求；电子政务工程建设项目必须同步考虑安全问题，提供安全专项资金，信息安全风险评估结论是项目验收的重要依据。在我国2017年正式发布的（）中规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”信息安全工程就是要解决信息系统生命周期的“过程安全”问题。<br>
A：'《关于加强信息安全保障工作的意见》；《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》；《网络安全法》</p>
<p>B：'《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》；《关于加强信息安全保障工作的意见》；《网络安全法》</p>
<p>C：'《网络安全法》；《关于加强信息安全保障工作的意见&gt;&gt;;&lt;&lt;关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》</p>
<p>D：'《网络安全法》；《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》；《关于加强信息安全保障工作的意见》</p>
<p>答案：A_</p>
<p>第541题.<br>
在PDR模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保护-检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策略实施的。如图所示。在PPDR模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、（）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的（）。检测这一环节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括；实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件，通过及时的响应措施将网络系统的（）调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。<img alt="" src="./index_files/15820888551535.png" style="width: 300px; height: 234px;"></p>
<p>A：'评估与执行；访问控制；安全状态；安全性</p>
<p>B：'评估与执行；安全状态；访问控制；安全性</p>
<p>C：'访问控制；评估与执行；安全状态；安全性</p>
<p>D：'安全状态，评估与执行；访问控制；安全性</p>
<p>答案：A_</p>
<p>第542题.现如今的时代是信息的时代，每天都会有大量的信息流通或交互，但自从斯诺登曝光美国政府的“棱镜”计划之后，信息安全问题也成为了每个人乃至整个国家所不得不重视的问题，而网络信息对抗技术与电子信息对抗技术也成为了这个问题的核心。某公司为有效对抗信息收集和分析，让该公司一位网络工程师提出可行的参考建议，在改网络工程师的建议中错误的是（）<br>
A：'通过信息安全培训，使相关信息发布人员了解信息收集的风险</p>
<p>B：'发布信息应采取最小原则，所有不是必要的信息都不发布</p>
<p>C：'重点单位应建立信息发布审查机制，对发布的信息进行审核，避免敏感信息的泄露</p>
<p>D：'增加系统中对外服务的端口数量，提高会话效率</p>
<p>答案：D_</p>
<p>第543题.分析针对Web的攻击前，先要明白http协议本身是不存在安全性的问题的，就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或则客户端、以及运行的服务器的wed应用资源才是攻击的目标。针对Web应用的攻击，我们归纳出了12种，小陈列举了其中的4种，在这四种当中错误的是（）<br>
A：'拒绝服务攻击</p>
<p>B：'网址重定向</p>
<p>C：'传输保护不足</p>
<p>D：'错误的访问控制</p>
<p>答案：D_</p>
<p>第544题.2016年12月27日，经中央网路安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》（以下简称：“战略”）。全文共计（）部分，6000余字。其中主要对我国当前面临的网络空间安全7大机遇思想，阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务，切实维护国家在网络空间的主权、安全、发展利益，是指导国家网络安全工作的纲领性文件。《战略》指出，网络空间机遇和挑战并存，机遇大于挑战。必须坚持积极利用、科学发展、依法管理、确保安全，坚决维护网络安全，最大限度利用网络空间发展潜力，更好惠及13亿多中国人民，造福全人类，（）。《战略》要求，要以（），贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识，统筹国内国际两个大局，统筹发展安全两件大事，积极防御、有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的（）。<br>
A：'4个；总体目标；坚定维护世界和平；总体国家安全观为指导；战略目标</p>
<p>B：'5个；基本目标；坚定维护世界和平；总体国家安全观为指导；战略目标</p>
<p>C：'6个；总体目标；坚定维护世界和平；总体国家安全观为指导；战略目标</p>
<p>D：'7个；基本目标；坚定维护世界和平；总体国家安全观为指导；战略目标</p>
<p>答案：A_</p>
<p>第545题.哪种攻击是攻击者通过各种手段来小号网络宽带或者服务器系统资源，最终导致被攻击服务器资源耗尽或者系统崩溃而无法提供正常的网络服务（）<br>
A：'拒绝服务</p>
<p>B：'缓冲区溢出</p>
<p>C：'DNS欺骗</p>
<p>D：'IP欺骗</p>
<p>答案：A_</p>
<p>第546题.以下关于VPN说法正确的是<br>
A：'VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路</p>
<p>B：'VPN不能做到信息认证和身份认证</p>
<p>C：'VPN指的是用户通过公用网络建立的临时的、安全的连</p>
<p>D：'VPN只能提供身份不能提供加密数据的功能</p>
<p>答案：C_</p>
<p>第547题.<br>
美国系统工程专家霍尔（A.<br>
D.Hall）在1969年利用机构分析法提出著名的霍尔三维结构，使系统工程的工作阶段和步骤更为清晰明了，如图所示，霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的（）阶段和（）步骤，同时还考虑了为完全这些阶段和步骤所需要的各种（）。这样，就形成了由（）、（）、和知识维所组成的三维空间结构。<img alt="" src="./index_files/15820887634871.png" style="width: 300px; height: 173px;"></p>
<p>A：'五个；七个；专业知识和技能；时间维；逻辑维</p>
<p>B：'七个；七个；专业知识和技能；时间维；逻辑维</p>
<p>C：'七个；六个；专业知识和技能；时间维；逻辑维</p>
<p>D：'七个；六个；专业知识和技能；时间维；空间维</p>
<p>答案：B_</p>
<p>第548题.社会工程学是（）与（）结合的学科，准确来说，它不是一门科学，因为它不能总是重复合成功，并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的（），随着时间流逝最终都会失效，因为系统的漏洞可以弥补，体系的缺陷可能随着技术的发展完善或替代，社会工程学利用的是人性的“弱点”，而人性是（）,这使得它几乎是永远有效的（）<br>
A：'网络安全；心理学；攻击方式；永恒存在的；攻击方式</p>
<p>B：'网络安全；攻击方式；心理学；永恒存在的；攻击方式</p>
<p>C：'网络安全；心理学；永恒存在的；攻击方式</p>
<p>D：'网络安全；攻击方式；心理学；攻击方式；永恒存在的</p>
<p>答案：A_</p>
<p>第549题.系统安全工程能力成熟度模型评估方法（SSAM, SSE-CMM Appraisal Method）是专门基于SSE-CMM的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的（）流程能力和成熟度进行评估所需的（）。SSAM评估过程分为四个阶段，（）、（）、（）、（）<br>
A：'信息和方向；系统安全工程；规划；准备；现场；报告</p>
<p>B：'信息和方向；系统工程；规划；准备；现场；报告</p>
<p>C：'系统安全工程；信息；规划；准备；现场；报告</p>
<p>D：'系统安全工程；信息和方向；规划；准备；现场；报告</p>
<p>答案：D_</p>
<p>第550题.当使用移动设备时，应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露，如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护，以防被偷窃，例如，特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的（）。携带重要、敏感和或关键业务信息的设备不宜无人值守，若有可能，要以物理的方式锁起来，或使用（）来保护设备。对于使用移动计算设施的人员要安排培训，以提高他们对这种工作方式导致的附加风险的意识，并且要实施控制措施。<br>
A：'加密技术；业务信息；特定规程；专用锁</p>
<p>B：'业务信息；特定规程；加密技术；专用锁</p>
<p>C：'业务信息；加密技术；特定规程；专用锁</p>
<p>D：'业务信息；专用锁；加密技术；特定规程</p>
<p>答案：C_</p>
<p>第551题.在规定的时间间隔或重大变化发生时，组织的额（）和实施方法（如信息安全的控制目标、控制措施、方针、过程和规程）应（）。独立评审宜由管理者启动，由独立被评审范围的人员执行，例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的（）。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行（）。为了日常功评审的效率，可以考虑使用自动测量和（）。评审结果和管理人员采取的纠正措施宜被记录，且这些记录宜予以维护。<br>
A：'信息安全管理；独立审查；报告工具；技能和经验；定期评审</p>
<p>B：'信息安全管理；技能和经验；独立审查；定期评审；报告工具</p>
<p>C：'独立审查；信息安全管理；技能和经验；定期评审；报告工具</p>
<p>D：'信息安全管理；独立审查；技能和经验；定期评审；报告工具</p>
<p>答案：D_</p>
<p>第552题.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置，信息资产的保护很大程度上取决与场地的安全性，一个部署在高风险场所的信息系统是很难有效的保障信息资产安全性的。为了保护环境安全，在下列选项中，公司在选址时最不应该选址的场地是()<br>
A：'自然灾害较少的城市</p>
<p>B：'部署严格监控的独立园区</p>
<p>C：'大型医院旁的建筑</p>
<p>D：'加油站旁的建筑</p>
<p>答案：D_</p>
<p>第553题.1998年英国公布标准的第二部分《信安全管理体系规范》，规定（）管理体系要求与（）要求，它是一个组织的全面或部分信息安全管理体系评估的（），它可以作为一个正式认证方案的（）。BS 7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及（）的责任。<br>
A：'信息安全；信息安全控制；根据；基础；信息安全</p>
<p>B：'信息安全控制；信息安全；根据；基础；信息安全</p>
<p>C：'信息安全控制；信息安全；基础；根据；信息安全</p>
<p>D：'信息安全；信息安全控制；基础；根据；信息安全</p>
<p>答案：D_1998年英国公布标准的第二部分《信息安全管理体系》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可作为一个正式认证方案的根据。BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任</p>
<p>第554题.某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为200万元；如果发生火灾，资产总值将损失至资产值的25%；这种火灾发生的可能性为25年发生一次。则这种威胁的年度损失预期值为()<br>
A：'10,000元</p>
<p>B：'15,000元</p>
<p>C：'20,000元</p>
<p>D：'25,000元</p>
<p>答案：C_</p>
<p>第555题.在软件开发过程中，常用图作为描述攻击，如DFD就是面向（）分析方法的描述工具，在一套分层DFD中，如果某一张图中有N个加工（Process）则这张图允许有（）张子图，在一张DFD中任意两个加工之间（）。在画分层DFD时，应注意保持（）之间的平衡。DFD中从系统的输入流到系统的输出流的一连串交换形式一种信息流，这种信息流可分为交换流和事物流两类。<br>
A：'数据流；0^N；有0条或多条名字互不相同的数据流；父图与其子图</p>
<p>B：'数据流；I^N；有0条或多条名字互不相同的数据流；父图与其子图</p>
<p>C：'字节流；0^N；有0条或多条名字互不相同的数据流；父图与其子图</p>
<p>D：'数据流；0^N；有0条或多条名字互不相同的数据流；子图之间</p>
<p>答案：A_非CISP的内容，软件工程师、软考的基础知识，考的是图方法的基本概念。</p>
<p>第556题.社会工程学本质上是一种（），（）通过种种方式来引导受攻击者的（）向攻击者期望的方向发展。罗伯特·B·西奥迪尼（Robert B Cialdini）在科学美国人（2001年2月）杂志中总结对（）的研究，介绍了6种“人类天性基本倾向”，这些基本倾向都是（）工程师在攻击中所依赖的（有意思或者无意识的）。<br>
A：'攻击者；心理操纵；思维；心理操纵；思维；社会工程学</p>
<p>B：'攻击者；心理操纵；心理操纵；社会工程学</p>
<p>C：'心理操纵；攻击者；思维；心理操纵；社会工程学</p>
<p>D：'心理操纵；思维；心理操纵；攻击者；社会工程学</p>
<p>答案：C_风险评估的工具中，（）是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性，这类工具通常包括黑客工具、脚本文件。</p>
<p>第557题.风险评估的工具中，（）是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性，这类工具通常包括黑客工具、脚本文件。<br>
A：'脆弱性扫描工具</p>
<p>B：'渗透测试工具</p>
<p>C：'拓扑发现工具</p>
<p>D：'安全审计工具</p>
<p>答案：B_</p>
<p>第558题.ITIL最新版本是V3.0，它包含5个生命周期，分别是（）、（）、（）、（）、（）<br>
A：'战略阶段；设计阶段；转换阶段；运营阶段；改进阶段</p>
<p>B：'设计阶段；战略阶段；转换阶段；运营阶段；改进阶段</p>
<p>C：'战略阶段；设计阶段；运营阶段；转换阶段；改进阶段</p>
<p>D：'转换阶段；战略阶段；设计阶段；运营阶段；改进阶段</p>
<p>答案：A_</p>
<p>第559题.<br>
COBIT（信息和相关技术的控制目标）是国际专业协会ISACA为信息技术（IT）管理和IT治理创建的良好实践框架。COBIT提供了一套可实施的“信息技术控制”并围绕IT相关流程和推动因素的逻辑框架进行组织。COBIT模型如图所示，按照流程，请问，COBIT组件包括（）、()、（）、（）、（）、等部分。<img alt="" src="./index_files/15820886808888.png" style="width: 400px; height: 192px;"></p>
<p>A：'流程描述、框架、控制目标、管理指南、成熟度模型</p>
<p>B：'框架、流程描述、管理目标、控制目标、成熟度模型</p>
<p>C：'框架、流程描述、控制目标、管理指南、成熟度模型</p>
<p>D：'框架、管理指南、流程描述、控制目标、成熟度模型</p>
<p>答案：C_</p>
<p>第560题.<br>
关于软件安全问题，下面描述错误的是（）</p>
<p>A：'软件的安全问题可以造成软件运行不稳定，得不到正确结果甚至崩溃</p>
<p>B：'软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决</p>
<p>C：'软件的安全问题可能被攻击者利用后影响人身健康安全</p>
<p>D：'软件的安全问题是由程序开发者遗留的，和软件部署运行环境无关</p>
<p>答案：C_</p>
<p>第561题.以下哪项是《国家信息化领导小组关于加强信息安全保障工作的意见》的总体方针和要求？<br>
A：'坚持积极攻击、综合防范的方针</p>
<p>B：'全面提高信息安全防护能力</p>
<p>C：'重点保障基础信息网络和重要信息系统安全</p>
<p>D：'创建安全健康的网络环境，保障和促进工业化发展，保护公众利益，维护国家安全</p>
<p>答案：B/C_A错，坚持积极防御、综合防范的方针；D错，保障和促进信息化发展。</p>
<p>第562题.<br>
随着计算机和网络技术的迅速发展，人们对网络的依赖性达到了前所未有的程度，网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要，而网络安全评估是保证网络安全的重要环节。以下不属于网络安全评估内容的是（）</p>
<p>A：'数据加密</p>
<p>B：'漏洞检测</p>
<p>C：'风险评估</p>
<p>D：'安全审计</p>
<p>答案：A_</p>
<p>第563题.2006年5月8日电，中共中央办公厅、国务院办公厅印发了《2006-2020年国家信息化发展战略》。全文分（）部分共计约15000余字。对国内外的信息化发展做了宏观分析，对我国信息化发展指导思想和战略目标标准要阐述，对我国（）发展的重点、行动计划和保障措施做了详尽描述。该战略指出了我国信息化发展的（），当前我国信息安全保障工作逐步加强。制定并实施了（）,初步建立了信息安全管理体制和（）。基础信息网络和重要信息系统的安全防护水平明显提高，互联网信息安全管理进一步加强。<br>
A：' 5个；信息化；基本形势；国家安全战略；工作机制</p>
<p>B：'6个；信息化；基本形势；国家信息安全战略；工作机制</p>
<p>C：'7个；信息化；基本形势；国家安全战略；工作机制</p>
<p>D：'8个；信息化；基本形势；国家信息安全战略；工作机制</p>
<p>答案：B_</p>
<p>第564题.ISO2007：2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实施、保持和不断改进（）制定了要求。ISO27001标准的前身为（）的BS7799标准，该标准于1993年由（）立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的（），其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一（），并且适用大、中、小组织。<br>
A：'ISMS；德国；德国贸易工业部；实施规则；参考基准</p>
<p>B：'ISMS；法国；法国贸易工业部；实施规则；参考基准</p>
<p>C：'ISMS；英国；英国贸易工业部；实施规则；参考基准</p>
<p>D：'ISMS；德国；德国贸易工业部；参考基准；实施规则</p>
<p>答案：C_</p>
<p>第565题.终端访问控制器访问控制系统（Terminal Access Controller Access-Control System,TACACS）由RFC1492定义，标准的TACACS协议只认证用户是否可以登录系统，目前已经很少使用，TACACS+协议由Cisco公司提出，主要应用于Ciso公司的产品中，运行与TCP协议之上。TACACS+协议分为（）两个不同的过程<br>
A：'认证和授权</p>
<p>B：'加密和认证</p>
<p>C：'数字签名和认证</p>
<p>D：'访问控制和加密</p>
<p>答案：A_</p>
<p>第566题.<br>
网络与信息安全应急预案是在分析网络与信息系统突发事件后果和应急能力的基础上，针对可能发生的重大网络与信息系统突发事件，预先制定的行动计划或应急对策。应急预案的实施需要各子系统的相互配合与协调，下面应急响应工作流程图中，空白方框中从右到左依次填入的是（）<img alt="" src="./index_files/15820910642700.png" style="width: 400px; height: 175px;"></p>
<p>A：'应急响应专家小组、应急响应技术保障小组、应急响应实施小组、应急响应日常运行小组</p>
<p>B：'应急响应专家小组、应急响应实施小组、应急响应技术保障小组、应急响应日常运行小组</p>
<p>C：'应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日常运行小组</p>
<p>D：'应急响应技术保障小组、应急响应专家小组、应急响应日常运行小组、应急响应实施小组</p>
<p>答案：A_</p>
<p>第567题.随着计算机在商业和民用领域的应用，安全需求变得越来越多样化，自主访问控制和强制访问控制难85以适应需求，基于角色的访问控制（RBAC）逐渐成为安全领域的一个研究热点。RBAC模型可以分为RBAC0、RBAC1、RBAC2和RBAC3四种类型，它们之间存在相互包含关系。下列选项中，对它们之间的关系描述错误的是（）<br>
A：'RBACO是基于模型，RBAC1、RBAC2和RBAC3都包含RBAC0</p>
<p>B：'RBAC1在RBAC0的基础上，加入了角色等级的概念</p>
<p>C：'RBAC2在RBAC1的基础上，加入了约束的概念</p>
<p>D：'RBAC3结合RBAC1和RBAC2，同时具备角色等级和约束</p>
<p>答案：C_</p>
<p>第568题.安全漏洞扫描技术是一类重要的网络安全技术。当前，网络安全漏洞扫描技术的两大核心技术是（）<br>
A：'PING扫描技术和端口扫描技术</p>
<p>B：'端口扫描技术和漏洞扫描技术</p>
<p>C：'操作系统探测和漏洞扫描技术</p>
<p>D：'PING扫描技术和操作系统探测</p>
<p>答案：B_</p>
<p>第569题.甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况，甲公司将这个任务委托了乙公司，那么乙公司的设计员应该了解OSI参考模型中的哪一层（）<br>
A：'数据链路层</p>
<p>B：'会话层</p>
<p>C：'物理层</p>
<p>D：'传输层</p>
<p>答案：C_</p>
<p>第570题.下面哪一项情景属于身份鉴别（Authentication）过程？<br>
A：'用户依照系统提示输入用户名和口令</p>
<p>B：'用户在网络上共享了自己编写的一份Office文档进行加密，以阻止其他人得到这份拷贝后到文档中的内容</p>
<p>C：'用户使用加密软件对自己家编写的Office文档进行加密，以阻止其他人得到这份拷贝后到文档中的内容</p>
<p>D：'某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登陆过程记录在系统日志中</p>
<p>答案：A_</p>
<p>第571题.终端访问控制器访问控制系统（TERMINAL Access Controller Access-Control System,TACACS）,在认证过程中，客户机发送一个START包给服务器，包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个，序列号永远为（）.服务器收到START包以后，回送一个REPLY包，表示认证继续还是结束。<br>
A：'0</p>
<p>B：'1</p>
<p>C：'2</p>
<p>D：'4</p>
<p>答案：B_参考书籍身份鉴别-认证、授权和计费部分内容（第157页），整段的内容抄过来的。这是一个AAA系统，思科开发的产品，作为产品了解即可。</p>
<p>第572题.为了开发高质量的软件，软件效率成为最受关注的话题。那么开发效率主要取决于以下两点：开发新功能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率，应（<br>
A：'随机地选取测试数据</p>
<p>B：'取一切可能的输入数据为测试数据</p>
<p>C：'在完成编码以后制定软件的测试计划</p>
<p>D：'选择发现错误可能性最大的数据作为测试用例</p>
<p>答案：D_</p>
<p>第573题.以下哪个组织所属的行业的信息系统不属于关键信息基础设施？<br>
A：'人民解放军战略支援部队</p>
<p>B：'中国移动吉林公司</p>
<p>C：'重庆市公安局消防总队</p>
<p>D：'上海市卫生与计划生育委员会</p>
<p>答案：D_</p>
<p>第574题.信息安全管理体系ISMS是建立和维持信息安全管理体系的（），标准要求组织通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的（）<br>
A：'信息安全方针；标准；文件；管理体系；保证程度</p>
<p>B：'标准；文件；信息安全方针；管理体系；保证程度</p>
<p>C：'标准；信息安全方针；文件；管理体系；保证程度</p>
<p>D：'标准；管理体系；信息安全方针；文件；保证程度</p>
<p>答案：C_</p>
<p>第575题.目前应用面临的威胁越来越多，越来越难发现。对应用系统潜在的威胁目前还没有统一的分类，但小赵认为同事小李从对应用系统的攻击手段角度出发所列出的四项例子中有一项不对，请问是下面哪一项（）<br>
A：'数据访问权限</p>
<p>B：'伪造身份</p>
<p>C：'钓鱼攻击</p>
<p>D：'远程渗透</p>
<p>答案：C_钓鱼是针对人的攻击手段，不是针对应用系统的。</p>
<p>第576题.与PDR模型相比，P2DR模型则更强调（）,即强调系统安全的（），并且以安全检测、（）和自适应填充“安全间隙“为循环来提高（）。<br>
A：'漏洞监测；控制和对抗；动态性；网络安全</p>
<p>B：'动态性；控制和对抗；漏洞监测；网络安全</p>
<p>C：'控制和对抗；漏洞监测；动态性；网络安全</p>
<p>D：'控制和对抗；动态性；漏洞监测；网络安全</p>
<p>答案：D_</p>
<p>第577题.某单位在进行内部安全评估时，安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞，然而此报告在内部审计时被质疑，原因在于小张使用的漏洞扫描软件采购于三年前，服务已经过期，漏洞库是半年前最后一次更新的。关于内部审计人员对这份报告的说法正确的是（）<br>
A：'内部审计人员的质疑是对的，由于没有更新漏洞库，因此这份漏洞扫描报告准确性无法保证</p>
<p>B：'内部审计人员质疑是错的，漏洞扫描软件是正版采购，因此扫描结果是准确的</p>
<p>C：'内部审计人员的质疑是正确的，因为漏洞扫描报告是软件提供，没有经过人为分析，因此结论不会准确</p>
<p>D：'内部审计人员的质疑是错误的，漏洞软件是由专业的安全人员操作的，因此扫描结果是准确的</p>
<p>答案：A_</p>
<p>第578题.<br>
信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的（），向信息系统的所有相关方提供信息系统的（）能够实现其安全保障策略，能够将将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是（）, 信息系统安全保障是一个动态持续的过程，涉及信息系统整个（），因此信息系统安全保障的评估也应该提供一种（）的信心。<img alt="" src="./index_files/15820884633528.png" style="width: 300px; height: 232px;"></p>
<p>A：'安全保障工作；客观证据；信息系统；生命周期；动态持续</p>
<p>B：'客观证据；安全保障工作；信息系统；生命周期；动态持续</p>
<p>C：'客观证据；安全保障工作；生命周期；信息系统；动态持续</p>
<p>D：'客观证据；安全保障工作；动态持续；信息系统；生命周期</p>
<p>答案：B_</p>
<p>第579题.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（·-）完整性原则？<br>
A：'Bell-LaPadula模型中的不允许向下写</p>
<p>B：'Bell-LaPadula模型中的不允许向上读</p>
<p>C：'Biba模型中的不允许向上写</p>
<p>D：'Biba模型中的不允许向下读</p>
<p>答案：C_BLP模型保证系统信息的机密性；Biba模型确保数据的完整性。BLP模型*-规则是不下写，主体不可将信息写入安全级别低于它的客体。biba模型是当主体完整性级别支配客体的完整性级别时，不上写</p>
<p>第580题.组织应定期监控、审查、审计（）服务，确保协议中的信息安全条款和条件被遵守，信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或（）团队。另外，组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是（）要求的实现。当发现服务交付的不足时，宜采取（）.当供应商提供的服务，包括对（）方针、规程和控制措施的维持和改进等发生变更时，应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。<br>
A：'供应商；服务管理；信息安全；合适的措施；信息安全</p>
<p>B：'服务管理；供应商；信息安全；合适的措施；信息安全</p>
<p>C：'供应商；信息安全；服务管理；合适的措施；信息安全</p>
<p>D：'供应商；合适的措施；服务管理；信息安全；信息安全</p>
<p>答案：A_</p>
<p>第581题.下列关于面向对象测试问题的说法中，不正确的是（）<br>
A：'在面向对象软件测试时，设计每个类的测试用例时，不仅仅要考虑用各个成员方法的输入参数，还需要考虑如何设计调用的序列</p>
<p>B：'构造抽象类的驱动程序会比构造其他类的驱动程序复杂</p>
<p>C：'类B继承自类A，如果对B进行了严格的测试，就意味着不需再对类A进行测试</p>
<p>D：'在存在多态的情况下，为了达到较高的测试充分性，应对所有可能的绑定都进行测试</p>
<p>答案：C_</p>
<p>第582题.火灾是机房日常运营中面临最多的安全威胁之一，火灾防护的工作是通过构建火灾预防、检测和响应系统，保护信息化相关人员和信息系统，将火灾导致的影响降低到可接受的程度。下列选项中，对火灾的预防、检测和抑制的措施描述错误的选项是（）<br>
A：'将机房单独设置防火区，选址时远离易燃易爆物品存放区域，机房外墙使用非燃烧材料，进出机房区域的门采用防火门或防火卷帘，机房通风管设防火栓</p>
<p>B：'火灾探测器的具体实现方式包括；烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等</p>
<p>C：'自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器，只要有一个探测器报警，就立即启动灭火工作</p>
<p>D：'前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等</p>
<p>答案：C_</p>
<p>第583题.信息安全管理体系也采用了（） 模型，该模型可应用于所有的（）。ISMS把相关方的信息安全要求和期望作为输入，并通过必要的()，产生满足这些要求和期望的（）<br>
A：'ISMS；PDCA过程；行动和过程；信息安全结果</p>
<p>B：'PDCA;ISMS过程；行动和过程；信息安全结果</p>
<p>C：'ISMS;PDCA过程；信息安全结果；行动和过程</p>
<p>D：'PDCA;ISMS过程；信息安全结果；行动和过程</p>
<p>答案：B_</p>
<p>第584题.你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）<br>
A：'由于本次发布的数个漏洞都属于高危漏洞，为了避免安全风险，应对单位所有的服务器和客户端尽快安装补丁</p>
<p>B：'本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所以可以先不做处理</p>
<p>C：'对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署</p>
<p>D：'对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算机由于没有重要数据，由终端自行升级</p>
<p>答案：C_</p>
<p>第585题.<br>
在网络交易发达的今天，贸易双方可以通过签署电子合同来保障自己的合法权益。某中心推出电子签名服务，按照如图方式提供电子签名，不属于电子签名的基本特性的是（）<img alt="" src="./index_files/15820883903540.png" style="width: 300px; height: 206px;"></p>
<p>A：'不可伪造性</p>
<p>B：'不可否认性</p>
<p>C：'保证消息完整性</p>
<p>D：'机密性</p>
<p>答案：D_</p>
<p>第586题.风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，其中，明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是（）<br>
A：'《风险评估方案》</p>
<p>B：'《风险评估程序》</p>
<p>C：'《资产识别清单》</p>
<p>D：'《风险评估报告》</p>
<p>答案：A_</p>
<p>第587题.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号），关于推动信息安全等级保护（ ）建设和开展(  )工作的通知（公信安[2010]303号）等文件，由公安部(  )对等级保护测评机构管理，接受测评机构的申请、考核和定期（ ），对不具备能力的测评机构则（ ）<br>
A：'等级测评；测评体系；等级保护评估中心；能力验证；取消授权</p>
<p>B：'测评体系；等级保护评估中心；等级测评；能力验证；取消授权</p>
<p>C：'测评体系；等级测评；等级保护评估中心；能力验证；取消授权</p>
<p>D：'测评体系；等级保护评估中心；能力验证；等级测评；取消授权</p>
<p>答案：C_</p>
<p>第588题.以哪个现象较好的印证了信息安全特征中的动态性( )<br>
A：'经过数十年的发展，互联网上已经接入了数亿台各种电子设备</p>
<p>B：'刚刚经过风险评估并针对风险采取处理措施后仅一周，新的系统漏洞使得信息系统面临新的风险</p>
<p>C：'某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击</p>
<p>D：'某公司尽管部署了防火墙、防病毒等安全产品，但服务器中数据仍然产生了泄露</p>
<p>答案：B_</p>
<p>第589题.老王是某政府信息中心主任。以下哪项项目是符合《保守国家移密法》要求的(  )<br>
A：'老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理</p>
<p>B：'老王要求下属小张把中心所有计算机贴上密级标志</p>
<p>C：'老王每天晚上12点将涉密计算机连接上互联网更新杀毒软件病毒库</p>
<p>D：'老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用</p>
<p>答案：D_</p>
<p>第590题.关于计算机取证描述不正确的是（）<br>
A：'计算机取证是使用先进的技术和工具，按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动</p>
<p>B：'取证的目的包括通过证据，查找肇事者，通过证据推断犯罪过程，通过证据判断受害者损失程度及涉及证据提供法律支持</p>
<p>C：'电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品，对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护</p>
<p>D：'计算机取证的过程，可以分为准备，保护，提取，分析和提交五个步骤</p>
<p>答案：C_实际的情况是包括证据的获取和证据的分析两个方面。</p>
<p>第591题.（ ）第23条规定存储、处理国家机秘密的计算机信息系统（以下简称涉密信息系统），按照（ ）实行分级保护，（ ）应当按照国家保密标准配备保密设施、设备。（ ）、设备应当与涉密信息系统同步规划、同步建设、同步运行（三同步）。涉密信息系统应当按照规定，经（ ）后方可投入使用。<br>
A：'《保密法》；涉密程度；涉密信息系统；保密设施；检查合格</p>
<p>B：'《国家保密法》；涉密程度；涉密系统；保密设施；检查合格</p>
<p>C：'《网络保密法》；涉密程度；涉密系统；保密设施；检查合格</p>
<p>D：'《安全保密法》；涉密程度，涉密信息系统；保密设施；检查合格</p>
<p>答案：A_</p>
<p>第592题.PDCA循环又叫戴明环，是管理学常用的一种模型。关于PDCA四个字母，下面理解错误的是（  ）<br>
A：'P是Plan，指分析问题、发现问题、确定方针、目标和活动计划</p>
<p>B：'D是Do，指实施、具体运作，实现计划中的内容</p>
<p>C：'C是Check，指检查、总结执行计划的结果，明确效果，找出问题</p>
<p>D：'A 是Aim，指瞄准问题，抓住安全事件的核心，确定责任</p>
<p>答案：D_</p>
<p>第593题.在国家标准GB/T 20274. 1-2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》中，信息系统安全保障模型包含哪几个方面? （ ）<br>
A：'保障要素、生命周期和运行维护</p>
<p>B：'保障要素、生命周期和安全特征</p>
<p>C：'规划组织、生命周期和安全特征</p>
<p>D：'规划组织、生命周期和运行维护</p>
<p>答案：B_</p>
<p>第594题.目前，信息系统面临外部攻击者的恶意攻击威胁，从成胁能力和掌握资源分，这些威胁可以按照个人或胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的是（ ）<br>
A：'喜欢恶作剧、实现自我挑战的娱乐型黑客</p>
<p>B：'实施犯罪、获取非法经济利益网络犯罪团伙</p>
<p>C：'搜集政治、军事、经济等情报信息的情报机构</p>
<p>D：'巩固战略优势，执行军事任务、进行目标破坏的信息作战部队</p>
<p>答案：B_</p>
<p>第595题.有关质量管理，错误的理解是（  ）<br>
A：'量管理是与指挥和控制组织质量相关的一系列相互协调的活动，是为了实现质量目标，而进行的所有管理性质的活动</p>
<p>B：'规范质量管理体系相关活动的标准是ISO 9000系列标准</p>
<p>C：'质量管理体系将资源与结果结合，以结果管理方法进行系统的管理</p>
<p>D：'质量管理体系从机构，程序、过程和总结四个方面进行规范来提升质量</p>
<p>答案：C_</p>
<p>第596题.在某信息系统的设计中，用户登录过程是这样的:  (1)用户通过HTTP协议访问信息系统;  (2)用户在登录页面输入用户名和口令； (3)信息系统在服务器端检查用户名和密码的正确性, 如果正确，则鉴别完成。可以看出，这个鉴别过程属于（  ）<br>
A：'单向鉴别</p>
<p>B：'双向鉴别</p>
<p>C：'三向鉴别</p>
<p>D：'第三方鉴别</p>
<p>答案：A_</p>
<p>第597题.随机进程名称是恶意代码迷惑管琊员和系统安全检查人员的技术手段之一,以下对于随机进程名技术。描述正确的是（  ）<br>
A：'随机进程名技术虽然每次进程名都是随机的，但是只要找到了进程名称，就找到了恶意代码程序本身</p>
<p>B：'恶意代码生成随机进程名称的目的是使过程名称不固定，因为杀毒软件是按照进程名称进行病毒进程查杀</p>
<p>C：'恶意代码使用随机进程名是通过生成特定格式的进程名称，使进程管理器中看不到恶意代码的进程</p>
<p>D：'随机进程名技术每次启动时随机生成恶意代码进程名称，通过不固定的进程名称使自己不容易被发现真实的恶意代码程序名称</p>
<p>答案：D_</p>
<p>第598题.随着即时通讯软件的普及使用，即时通讯软件也被恶意代码利用进行传播，以下哪项功能不是恶意代码利用即时通讯进行传播的方式<br>
A：'利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件</p>
<p>B：'利用即时通讯软件发送指向恶意网页的URL</p>
<p>C：'利用即时通讯软件发送指向恶意地址的二维码</p>
<p>D：'利用即时通讯发送携带恶意代码的JPG图片</p>
<p>答案：C_</p>
<p><a href="http://xn--599-bt6hn96j.gb/T">第599题.GB/T</a> 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出，建立信息安全管理体系应参照PDCA模型进行，即信息安全管理体系应包括建立ISMS、 实施和运行ISMS、监视和评审ISMS、 保持和改进ISMS等过程，并在这些过程中应实施若干活动。请选出以下描述错误的选项（ ）<br>
A：'“制定ISMS方针”是建立ISMS阶段工作内容</p>
<p>B：'“安施培训和意识教育计划”是实施和运行ISMS阶段工作内容</p>
<p>C：'“进行有效性测量”是监视和评审ISMS阶段工作内容</p>
<p>D：'“实施内部审核”是保持和改进ISMS阶段工作内容</p>
<p>答案：D_</p>
<p>第600题.某单位需要开发一个网站，为了确保开发出安全的软件。软件开发商进行了OA系统的威胁建模，根据威胁建模，SQL注入是网站系统面临的攻击威胁之一， 根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法（ ）<br>
A：'在编码阶段程序员进行培训，避免程序员写出存在漏洞的代码</p>
<p>B：'对代码进行严格检查，避免存在SQL注入漏洞的脚本被发布</p>
<p>C：'使用静态发布，所有面向用户发布的数据都使用静态页面</p>
<p>D：'在网站中部署防SQL注入脚本，对所有用户提交数据进行过滤</p>
<p>答案：C_</p>
<p>第601题.某企业内网中感染了一种依靠移动存储进行传播的特洛伊木马病毒，由于企业部署的杀毒软件，为了解决该病毒在企业内部传播，作为信息化负责人，你应采取以下哪项策略()<br>
A：'更换企业内部杀毒软件，选择一个可以查杀到该病毒的软件进行重新部署</p>
<p>B：'向企业内部的计算机下发策略，关闭系统默认开启的自动播放功能</p>
<p>C：'禁止在企业内部使用如U盘、移动硬盘这类的移动存储介质</p>
<p>D：'在互联网出口部署防病毒网关，防止来自互联网的病毒进入企业内部</p>
<p>答案：B_</p>
<p>第602题.分布式拒绝服务（Distributed Denial of Service, DDos）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台。对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。一般来说，DDoS攻击的主要目的是破坏目标系统的（）<br>
A：'保密性</p>
<p>B：'完整性</p>
<p>C：'可用性</p>
<p>D：'真实性</p>
<p>答案：C_</p>
<p>第603题.某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协议，该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改，安全专家提出使用Http下载代替FTP功能以解决以上问题，该安全问题的产生主要是在哪个阶段产生的()<br>
A：'程序员在进行安全需求分析时，没有分析出OA系统开发的安全需求</p>
<p>B：'程序员在软件设计时，没遵循降低攻击面的原则，设计了不安全的功能</p>
<p>C：'程序员在软件编码时，缺乏足够的经验，编写了不安全的代码</p>
<p>D：'程序员在进行软件测试时，没有针对软件安全需求进行安全测试</p>
<p>答案：B_</p>
<p>第604题.安全漏洞产生的原因不包括以下哪一点()<br>
A：'软件系统代码的复杂性</p>
<p>B：'软件系统市场出现信息不对称现象</p>
<p>C：'复杂异构的网络环境</p>
<p>D：'攻击者的恶意利用</p>
<p>答案：D_</p>
<p>第605题.某IT 公司针对信息安全事件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO，请你指出存在问题的是哪个总结？<br>
A：'公司自身拥有优秀的技术人员，系统也是自己开发的，无需进行应急演练工作，因此今年的仅制定了应急演练相关流程及文档，为了不影响业务，应急演练工作不举行</p>
<p>B：'公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、应急响应时间后期运维、更新现在应急预案五个阶段，流程完善可用</p>
<p>C：'公司应急预案包括了基本环境类、业务系统、安全事件类、安全事件类和其他类，基本覆盖了各类应急事件类型</p>
<p>D：'公司应急预案对事件分类依据GB/Z 20986 _ 2007《信息安全技术信息安全事件分类分级指南》，分为7 个基本类别，预案符合国家相关标准</p>
<p>答案：A_</p>
<p>第606题.某软件在设计时，有三种用户访问模式，分别是仅管理员可访问、所有合法用户可访问和允许匿名访问)采用这三种访问模式时，攻击面最高的是()<br>
A：'仅管理员可访问</p>
<p>B：'所有合法用户可访问</p>
<p>C：'允许匿名</p>
<p>D：'三种方式一样</p>
<p>答案：C_</p>
<p>第607题.从SABSA的发展过程，可以看出整个SABSA在安全架构中的生命周期（如下图所示），在此SABSA生命周期中，前两个阶段的过程被归类为所谓的（ ），其次是（ ），它包含了建筑设计中的（ ）、物理设计、组件设计和服务管理设计，再者就是（ ），紧随其后的则是（ ）<br>
A：'设计；战略与规划；逻辑设计；实施；管理与衡量</p>
<p>B：'战略与规划；逻辑设计；设计；实施；管理与衡量</p>
<p>C：'战略与规划；实施；设计；逻辑设计；管理与衡量</p>
<p>D：'战略与规划；设计；逻辑设计；实施；管理与衡量</p>
<p>答案：D_</p>
<p>第608题.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数(Exposure Factor,EF)是25%，年度发生率(Annualized Rate of Occurrence, ARO)是0.2,那么小王计算的年度预期损失（Annualized Loss Expectancy, ALE) 应该是(  )<br>
A：'100万元人民币</p>
<p>B：'400万元人民币</p>
<p>C：'20万元人民币</p>
<p>D：'80万元人民币</p>
<p>答案：C_</p>
<p>第609题.某攻击者想通过远程控制软件潜伏在某监控方的UNIX系统的计算机中，如果攻击者打算长时间地远程监控某服务器上的存储的敏感数据，必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自己的系统日志的时候，就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()<br>
A：'窃取root权限修改wtmp/wtmpx、utmp/utmpx和lastlog三个主要日志文件</p>
<p>B：'采用干扰手段影响系统防火墙的审计功能</p>
<p>C：'保留攻击时产生的临时文件</p>
<p>D：'修改登录日志，伪造成功的登录日志，增加审计难度</p>
<p>答案：C_</p>
<p>第610题.信息安全组织的管理涉及内部组织和外部各方两个控制目标。为了实现对组织内部信息安全的有效管理，实施常规的控制措施，不包括哪些选项()<br>
A：'信息安全的管理承诺、信息安全协调、信息安全职责的分配</p>
<p>B：'信息处理设施的授权过程、保密性协议、与政府部门的联系</p>
<p>C：'与特定利益集团的联系。信息安全的独立评审</p>
<p>D：'与外部各方相关风险的识别、处理外部各方协议中的安全问题</p>
<p>答案：D_</p>
<p>第611题.小李在检查公司对外服务网站的源代码时，发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时，会将详细的错误原因在结果页面上显示出来。从安全角度考虑，小李决定修改代码。将详细的错误原因都隐藏起来，在页面上仅仅告知用户“抱歉。发生内部错误!”.请问，这种处理方法的主要目的是()<br>
A：'避免缓冲区溢出</p>
<p>B：'安全处理系统异常</p>
<p>C：'安全使用临时文件</p>
<p>D：'最小化反馈信息</p>
<p>答案：D_</p>
<p>第612题.关于ARP欺骗原理和防范措施，下面理解错误的是( )<br>
A：'ARP欺骗是指攻击者直接向受害者主机发送错误的ARP应答报文。使得受害者主机将错误的硬件地址映射关系存到ARP缓存中，从而起到冒充主机的目的</p>
<p>B：'单纯利用ARP欺骗攻击时，ARP欺骗通常影响的是内部子网，不能跨越路由实施攻击</p>
<p>C：' 解决ARP欺骗的一个有效方法是采用“静态”的APP缓存，如果发生硬件地址的更改，则需要人工更新缓存</p>
<p>D：'彻底解决ARP欺骗的方法是避免使用ARP协议和ARP缓存。直接采用IP地址和其地主机进行连接</p>
<p>答案：D_</p>
<p>第613题.组织内人力资源部门开发了一套系统，用于管理所有员工的各种工资、绩效、考核、奖励等事宜。所有员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性:</p>
<p>A：'SSL加密</p>
<p>B：'双因子认证</p>
<p>C：'加密会话cookie</p>
<p>D：'IP地址校验</p>
<p>答案：A_</p>
<p>第614题.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性，适用于专用或对安全性较高的系统。强制访问控制模型有多种类型，如BLP、Biba、Clark-Willson和ChineseWall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是（ ）<br>
A：'BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”</p>
<p>B：'BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”</p>
<p>C：'BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”</p>
<p>D：'BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”</p>
<p>答案：B_</p>
<p>第615题.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是:</p>
<p>A：'对经过身份鉴别后的合法用户提供所有服务</p>
<p>B：'拒绝非法用户的非授权访问请求</p>
<p>C：'在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理</p>
<p>D：'防止对信息的非授权篡改和滥用</p>
<p>答案：A_</p>
<p>第616题.信息安全风险等级的最终因素是:</p>
<p>A：'威胁和脆弱性</p>
<p>B：'影响和可能性</p>
<p>C：'资产重要性</p>
<p>D：'以上都不对</p>
<p>答案：B_</p>
<p>第617题.实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将:</p>
<p>A：'降低</p>
<p>B：'不变（保持相同）</p>
<p>C：'提高</p>
<p>D：'提高或降低（取决于业务的性质）</p>
<p>答案：C_</p>
<p>第618题.自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来表示，该ACL利用在客体上附加一个主体明细表的方法来表示访问控制矩阵，通常使用由客体指向的链表来存储相关数据。下面选项中说法正确的是（ ）<br>
A：'ACL是Bell-LaPadula模型的一种具体实现</p>
<p>B：'ACL在删除用户时，去除该用户所有的访问权限比较方便</p>
<p>C：' ACL对于统计某个主体能访问哪些客体比较方便</p>
<p>D：'ACL管理或增加客体比较方便</p>
<p>答案：D_</p>
<p>第619题.二十世纪二十年代，德国发明家亚瑟.谢尔比乌斯（Arthur Scherbius）发明了Engmia密码机。按照密码学发展历史阶段划分，这个阶段属于（ ）<br>
A：'古典密码阶段。这一阶段的密码专家常常靠直觉和技巧来设计密码，而不是凭借推理和证明，常用的密码运算方法包括替代方法和置换方法</p>
<p>B：'近代密码发展阶段。这一阶段开始使用机械代替手工计算，形成了机械式密码设备和更进一步的机电密码设备。</p>
<p>C：'现代密码学的早期发展阶段。这一阶段以香农的论文“保密系统的通信理论”（“The Communication Theory of Secret Systems”）为理论基础，开始了对密码学的科学探索。</p>
<p>D：'现代密码学的近代发展阶段。这一阶段以公钥密码思想为标准，引发了密码学历史上的革命性的变革，同时，众多的密码算法开始应用于非机密单位和商业场合。</p>
<p>答案：B_</p>
<p>第620题.在入侵检测（IDS）的运行中，最常见的问题是：（）<br>
A：'误报检测</p>
<p>B：'接收陷阱消息</p>
<p>C：'误拒绝率</p>
<p>D：'拒绝服务攻击</p>
<p>答案：A_</p>
<p>第621题.什么是系统变更控制中最重要的内容？<br>
A：'所有的变更都必须文字化，并被批准</p>
<p>B：'变更应通过自动化工具来实施</p>
<p>C：'应维护系统的备份</p>
<p>D：'通过测试和批准来确保质量</p>
<p>答案：A_</p>
<p>第622题.IPv4 协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依靠IP头部的校验和字段来保证IP包的安全，因此IP包很容易被篡改，并重新计算校验和。IETF于1994年开始制定IPSec协议标准，其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。下列选项中说法错误的是（  ）<br>
A：'对于IPv4, IPSec是可选的，对于IPv6，IPSec是强制实施的</p>
<p>B：'IPSec协议提供对IP及其上层协议的保护</p>
<p>C：'IPSec是一个单独的协议</p>
<p>D：'IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制</p>
<p>答案：C_</p>
<p>第623题.Gary  MoGrow博士及其合作都提出软件安全应由三根支柱来支撑，这三个支柱是（）<br>
A：'测代码审核，风险分析和渗透测试</p>
<p>B：'应用风险管理，软件安全接触点和安全知识</p>
<p>C：'威胁建模，渗透测试和软件安全接触点</p>
<p>D：'威胁建模，测代码审核和模模糊测试</p>
<p>答案：B_</p>
<p>第624题.信息安全组织的管理涉及内部组织和外部各方面两个控制目标，为了实现对组织内部信息安全的有效管理，应该实施常规的控制措施，不包括哪些选项（）<br>
A：'信息安全的管理承诺，信息安全协调，信息安全职责的分配</p>
<p>B：'信息处理设施的授权过程，保密性协议，与政府部门的联系</p>
<p>C：'与特定利益集团的联系，信息安全的独立评审</p>
<p>D：'与外部各方相关风险的识别，处理外部各方协议的安全问题</p>
<p>答案：D_</p>
<p>第625题.一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由下列哪个选项决定的（）<br>
A：'加密算法</p>
<p>B：'解密算法</p>
<p>C：'加密和解密算法</p>
<p>D：'密钥</p>
<p>答案：D_</p>
<p>第626题.某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行中集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄漏，根据降低攻击面的原则，应采取以下哪项处理措施（）<br>
A：'由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析</p>
<p>B：'为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险</p>
<p>C：'日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志</p>
<p>D：'只允许特定的IP地址从前置机提取日志，对日志共享设置访问且限定访问的时间</p>
<p>答案：D_</p>
<p>第627题.下列关于软件安全开发中的BSI(Build Security In)系列模型说法错误的是（）<br>
A：'BSI含义是指将安全内建到软件过程中，而不是可有可无，更不是游离于软件开发生命周期之外</p>
<p>B：'软件安全的三根支柱是风险管理、软件安全触点和安全测试</p>
<p>C：'软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为方式</p>
<p>D：'BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分</p>
<p>答案：B_</p>
<p>第628题.王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排，他依据已有的资产列表，逐个分析可能危害这些资产的主体、动机、途径等多种因素，分析这些因素出现机造成损失的可能性大小，并为其赋值。请问，他这个工作属于下面哪一个阶段的工作（）<br>
A：'资产识别并赋值</p>
<p>B：'脆弱性识别并赋值</p>
<p>C：'威胁识别并赋值</p>
<p>D：'确认已有的安全措施并赋值</p>
<p>答案：C_</p>
<p>第629题.软件存在漏洞和缺陷是不可避免的，实践中常用软件缺陷密度（Defects/KLOC）来衡量软件的安全性，假设某个软件共有29.6万行源代码，总共被检测出145个缺陷啊，则可以计算出其软件缺陷密度值是（）<br>
A：'0.00049</p>
<p>B：'0.049</p>
<p>C：'0.49</p>
<p>D：'49</p>
<p>答案：C_</p>
<p>第630题.以下哪项制度或标准作为我国的一项基础制度加以推行，并且有一定强制性，其实施的主要目的是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全。（）<br>
A：'信息安全管理体系（ISMS）</p>
<p>B：'信息安全等级保护</p>
<p>C：'NISI SP800</p>
<p>D：'ISO 270000系列</p>
<p>答案：B_</p>
<p>第631题.由于信息系统的复杂性，因此需要一个通用的框架对其进行解构和描述，然后再基于此框架讨论信息系统的（）。在LATF中，将信息系统的信息安全保障技术层面分为以下四个焦点领域：（）：区域边界即本地计算环境的外缘；()；支持性基础设施，在深度防御技术方案中推荐（）原则、（）原则。<br>
A：'网络和基础设施；安全保护问题；本地的计算机环境；多点防御；分层防御</p>
<p>B：'安全保护问题；本地的计算机环境；多点防御；网络和基础设施；分层防御</p>
<p>C：'安全保护问题；本地的计算机环境；网络和基础设施；多点防御；分层防御</p>
<p>D：'本地的计算环境；安全保护问题；网络和基础设施；多点防御；分层防御</p>
<p>答案：C_</p>
<p>第632题.信息安全保障技术框架（Informetion Assurance Technical Fromwork,IATF）,目的是为保障政府和工业的（）提供了（），信息安全保障技术框架的一个核心思想是（），深度防御战略的三个核心要素：（）、技术和运行（亦称为操作）<br>
A：'信息基础设施：技术指南：深度防御：人员</p>
<p>B：'技术指南：信息基础设施：深度防御：技术指南：人员</p>
<p>C：'信息基础设施：深度防御：技术指南：人员</p>
<p>D：'信息基础设施：技术指南：人员：深度防御</p>
<p>答案：A_</p>
<p>第633题.TCP/IP协议就Internet最基本的协议，也是Internet构成的基础，TCP/IP通常被认为就是一个N 层协议，每一层都使用它的下一层所提供的网络服务来完成自己的功能，这里N应等于（）<br>
A：'4</p>
<p>B：'5</p>
<p>C：'6</p>
<p>D：'7</p>
<p>答案：A_</p>
<p>第634题.某集团公司信息安全管理员根据领导安排制定了下一年的度的培训工作计划，提出了四大培训任务和目标，关于这个培训任务和目标，作为主管领导，以下选项中不合理的是（）<br>
A：'由于网络安全上升到国家安全的高度，网络安全必须得到足够的重视，因此安排了对集团公司下属单位的部经理（一把手）的网络安全法培训</p>
<p>B：'对下级单位的网络安全管理岗人员实施全面安全培训，建议通过CISP培训以确保人员能力得到保障</p>
<p>C：'对其他信息化相关人员（网络管理员、软件开发人员）也进行安全基础培训，使相关人员对网络安全有所了解</p>
<p>D：'对全体员工安排信息安全意识及基础安全知识培训，实现全员信息安全意识教育</p>
<p>答案：C_</p>
<p>第635题.恢复时间目标（Recovery Time Objective,KTO）和恢复点目标（Recovery Point Objective,RPO）是业务连续性和灾难恢复工作中的两个重要指标，随着信息系统越来越重要和信息技术越来越先进，这两个指标的数值越来越小，小华准备为其工作的信息系统拟定RTO和RPO指标，则以下描述中，正确的是（）<br>
A：'RTO可以为0，RPO也可以为0</p>
<p>B：'RTO可以为0，RTO不可以为0</p>
<p>C：'RTO不可以为0，RPO可以为0</p>
<p>D：'RTO不可以为0，RPO也不可以为0</p>
<p>答案：A_</p>
<p>第636题.老王是一名企业信息化负责人，由于企业员工在浏览网页时总导致病毒感染系统，为了解决这一问题，老王要求信息安全员给出解决措施，信息安全员给出了四条措施建议，老王根据多年的信息安全管理经验，认为其中一条不太适合推广，你认为是哪条措施（）<br>
A：'采购防病毒网关并部署在企业互联网出口中，实现对所有浏览网页进行检测，阻止网页中的病毒进入内网</p>
<p>B：'采购并统一部暑企业防病毒软件，信息化管理部门统一进行病毒库升级，确保每台许可都具备有效的病毒检测和查杀能力</p>
<p>C：'制定制度禁止使用微软的IE浏览上网，统一要求使用Chrone浏览器</p>
<p>D：'组织对员工进行一次上网行为安全培训，提高企业员工在互联网浏览时的安全意识</p>
<p>答案：C_</p>
<p>第637题.随机进程名称是恶意代码迷惑管理员和系统安全检查人员的技术手段之一，以下对于随机进程名技术，描述正确的是（）<br>
A：'随机进程名技术虽然每次进程都是随机的，但是只要找到了进程名称，就找到了恶意代码程序本身</p>
<p>B：'恶意代码生成随机进程名称的目的是使进程名称不固定，因为杀毒软件是按照进程名称进行病毒进程查杀</p>
<p>C：'恶意代码使用随机进程名是通过生成特定格式的进程名称，使进程管理器中看不到恶意代码的进程</p>
<p>D：'随机进程名技术每次启动时随机生成恶意代码进程名称，通过不固定的进程名称使自己不容易被发现真实的恶意代码程序名称</p>
<p>答案：D_</p>
<p>第638题.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）<br>
A：'要求开发人员采用敏捷开发模型进行开发</p>
<p>B：'要求所有的开发人员参加软件安全意识培训</p>
<p>C：'要求规范软件编码，并制定公司的安全编码准则</p>
<p>D：'要求增加软件安全测试环节，尽早发现软件安全问题</p>
<p>答案：A_</p>
<p>第639题.关于计算机取证描述正确的是（）<br>
A：'计算机取证是使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动</p>
<p>B：'取证的目的包括：通过证据查找肇事者，通过证据推断受害都损失程度及收集证据提供法律支持</p>
<p>C：'电子证据是计算机系统运行过程中产生的各种信息记录存储的电子化资料及物品，对于电子证据，取证工作主要围绕两方面进行，证据的获取和证据的保护</p>
<p>D：'计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤</p>
<p>答案：A_跟602题重复但是602问的是不正确的。此题A选项与D选项都是正确的，在教材“计算机取证与保全”部分可以找到原文，但是建议选择A</p>
<p>第640题.数据在进行传输前，需要由协议找自上而下对数据进行封装，TCP／IP协议中，数据封装的顺序是（）<br>
A：'传输层、网络接口层、互联网络层</p>
<p>B：'传输层、互联网络层、网络接口层</p>
<p>C：'互联网络层、传输层、网络接口层</p>
<p>D：'互联网络层、网络接口层、传输层</p>
<p>答案：B_</p>
<p>第641题.Windows系统中，安全标识符（SID）是标识用户、组和计算机账户的唯一编码，在操作系统内部使用，当授予用户、组、服务或者其他安全主休访问对象的权限时，操作系统会把SID和权限写入对象的ACL中，小刘在学习了SID的组成后，为了巩固所学知识，在自己计算机的Windows操作系统中使用whooml/users操作查看当前用户的SID，得到是的SID为S-1-5-21-1534169462-1651380828-111620652-500。下列选项中，关于此SID的理解错误的是（）<br>
A：'前三位S-1-5表示此SID是由Windows NT牥浞⒌摹俊狙∠頑：'第一个子颁发机构是21</p>
<p>C：'Windows NT 的SID的三个子颁发机构是 1534169462、1651380828、111620651</p>
<p>D：'此SID以500结尾，表示内置guest</p>
<p>答案：D_</p>
<p>第642题.某电子商务网战在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁（）<br>
A：'网站竟争对手可能雇佣攻击者实施DDOS攻击，降低网站访问速度</p>
<p>B：'网站使用HTTP协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄漏，例如购买的商品金额等</p>
<p>C：'网站使用HTTP协议进行浏览等操作，无法确认数据与用户发出的是否一致辞，可能数据被中途篡改</p>
<p>D：'网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息</p>
<p>答案：D_</p>
<p>第643题.关于信息安全应急响应管理过程描述不正确的是（）<br>
A：'基于应急响应工作的特点和事件的不规则性，事先制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制，将损失和负面影响降至最低</p>
<p>B：'应急响应方法和过程并不是唯一的</p>
<p>C：'一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、恢复和跟踪总结6个阶段</p>
<p>D：'一种被广为接受的应急响应方法是将应急管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段，这6个阶段的响应方法一定能确保事件处理的成功</p>
<p>答案：D_</p>
<p>第644题.如果有一名攻击者在搜索引擎中搜索“.doc+ XXX. com”<a href="http://xn--xxx-7j2ej95e.com/">找到XXX.com</a> 网站上所有的word 文档。该攻击者通过搜索“mdb”、“.ini”+域名,找到该域名下的mdb 库文件、ini 配置文件等非公开信息,通过这些敏感信息对该网站进行攻击,请问这属于( )<br>
A：'.定点挖掘</p>
<p>B：'攻击定位</p>
<p>C：'网络实施嗅探</p>
<p>D：'溢出攻击</p>
<p>答案：A_</p>
<p>第645题.超文本传输协议（HyperText Transfer Protocol,HTTP）是互联网上广泛使用的一种网络协议，下面哪种协议基于HTTP并结合SSL协议，具备用户鉴别和通信数据加密等功能（）<br>
A：'HTTP 1.0协议</p>
<p>B：'HTTP 1.1协议</p>
<p>C：'HTTPS协议</p>
<p>D：'HHTTPD协议</p>
<p>答案：C_</p>
<p>第646题.我国等级保护政策发展的正确顺序是（）<br>
①等级保护相关政策文件颁布<br>
②计算机系统安全保护等级划分思想提出<br>
③等级保护相关标准发布<br>
④网络安全法将等级保护制度作为基本策⑤等级保护工作试点<br>
A：'①②③④⑤</p>
<p>B：'②③①⑤④</p>
<p>C：'②⑤①③④</p>
<p>D：'①②④③⑤</p>
<p>答案：C_</p>
<p>第647题.（）第二十条规定存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照（）实行分级保护，（）应当按照国家保密标准配备保密设施、设备、（）设备应当与涉密信息系统同步规划、同步建设、同步运行9三同步），涉密信息系统应当按照规定，经（）后，方可投入使用。<br>
A：'《保密法》；涉笔程度；涉密信息系统; 保密设施；检查合格</p>
<p>B：'《国家保密法》；涉密程度；涉密系统；保密设施；检查合格</p>
<p>C：'《国家保密法》；涉密程度；涉密系统；保密设施；检查合格</p>
<p>D：'《安全保密法》；涉密程度；涉密信息系统；保密设施；检查合格</p>
<p>答案：A_</p>
<p>第648题.由于密码技术都依赖于密钥匙，因此密钥的安全管理是密钥技术应用中非常重要的环节，下列关于密钥匙管理说法错误的是（ ）<br>
A：'科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥</p>
<p>B：'在保密通信过程中，通信双方可以一直使用之前用过的会话密钥，不影响安全性</p>
<p>C：'密钥匙管理需要在安全策略的指导下处理密钥生命周期的整个过程，包括产生、存储、备份、分配、更新、撤销等</p>
<p>D：'在保密通信过程中，通信双方也可利用Diffie-Helinan协议协商会话密钥进行保密通信</p>
<p>答案：B_</p>
<p>第649题.<br>
（）（）（）（）六个方面内容，（）（）（）（）四个基本步骤，（）（）贯穿四个步骤中，如图所示：【</p>
<img alt="" src="./index_files/15820882644180.png" style="width: 300px; height: 203px;">
<p>A：'背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询、背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询</p>
<p>B：'背景建立、风险评估、风险处理、批准监督、沟通咨询、监控审查、背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询</p>
<p>C：'背景建立、风险评估、风险处理、批准监督、沟通咨询、监控审查、背景建立、风险评估、风险处理、批准监督、沟通咨询、监控审查</p>
<p>D：'背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询、背景建立、风险评估、风险处理、批准监督、沟通咨询、监控审查</p>
<p>答案：A_信息安全风险管理包括6个方面的内容：背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的４个基本步骤，监控审查和沟通咨询则贯穿于这４个基本步骤中</p>
<p>第650题.如果有一位攻击者在搜索引擎中搜索“.doc+<a href="http://xxx.com/">xxx.com</a>”在寻找xxx.com网站上所有的word文件，同时通过“.mdb””.ini”等关键字来找到该网站下的mdb库文件，配置信息等非公开信息，请问属于（）类型的攻击？<br>
A：'定点挖掘</p>
<p>B：'攻击定位</p>
<p>C：'网络嗅探</p>
<p>D：'溢出攻击</p>
<p>答案：A_</p>
<p>第651题.以下对单点登陆技术描述不正确的是？<br>
A：'单点登陆技术实际是安全凭证在多个用户之间进行传递或共享</p>
<p>B：'单点登陆技术用户只需在登陆时进行一次注册，就可以访问多个应用</p>
<p>C：'单点登录技术不仅方便用户使用，而且也便于管理</p>
<p>D：'单点登陆技术能简化应用系统的开发</p>
<p>答案：A_</p>
<p>第652题.对操作系统软件安装方面应建立安装（），运行系统要以安装经过批准的可执行代码，不安装开发代码和（），应用和操作系统软件要在大范围的，成功的测试之后才能实施，而且要仅由受过培训的管理员，根据合适的（），进行运行操作，应用和程序库的更新，必要时在管理者的批准情况下，仅为支持目的，才授予供应商物理或逻辑访问控制权，并且要监督供应商的活动，对于用户能安装何种类型的软件，组织且定义并轻质执行严格的方针，宜使用（）。不受控制的计算机设备上的软件安装可能导致脆弱性，进而导致信息泄露，整体性损失或其他信息安全事件或违反( )<br>
A：'控制规程、编译程序、管理授权、最小特权方针、知识产权</p>
<p>B：'编译程序、控制程序、管理授权、最小特权方针、知识产权</p>
<p>C：'控制程序、编译程序、管理授权、最小特权方针、知识产权</p>
<p>D：'管理授权、控制程序、编译程序、最小特权方针、知识产权</p>
<p>答案：C_</p>
<p>第653题.软件工程方法起源于软件危机，其目的应该是最终解决软件的是（）问题？<br>
A：'质量保证</p>
<p>B：'生产危机</p>
<p>C：'生产工程化</p>
<p>D：'开发效率</p>
<p>答案：C_目前软件危机最大的难处就在于难以进行大规模工程化的开发。要解决软件危机，软件质量也是很重要，但是没有大规模的工程化开发，质量也是难以保证的。</p>
<p>第654题.关于IPv6的观点，以下错误的是？<br>
A：'网络地址空间得到极大的扩展</p>
<p>B：'IPv6对多播进行了改造，使其有更大的多播地址空间</p>
<p>C：'复杂的报头格式</p>
<p>D：'良好的扩展性</p>
<p>答案：C_</p>
<p>第655题.关于《商用密码管理条例》，正确的是（）<br>
A：'商用密码属于国家秘密</p>
<p>B：'商用密码可以对涉及国家秘密内容的信息进行加密保护</p>
<p>C：'国家对商用密码产品的科研、生产、销售和使用实行认证管理</p>
<p>D：'国内用户可以使用自行研制的或者境外生产的密码产品</p>
<p>答案：A_《商用密码管理条例》是行政法规，国务院令第273号，1999年10月7日发布施行商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。主管部门：国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理要点：商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。必须如实登记备案直接使用商用密码产品的用户信息和产品用途。不得使用自行研制的或者境外生产的密码产品。不得转让其使用的商用密码产品（含故障维修、报废销毁）。</p>
<p>第656题.传输路线是信息发送设备和接受设备之间的物理通路，针对传输路线的攻击是攻击者常用的方式，不同传输介质具有不同的安全特性。同轴电缆，双绞线和光纤是广泛使用的有线传输介质。下面描述正确的是（）<br>
A：'同轴电缆显著的特征是频带交款，其中高端的频带最大可达到100GHz</p>
<p>B：'在双绞线外包裹一层金属屏蔽层，可解决抗干扰能力差的问题</p>
<p>C：'由于光在塑料的保护套中损耗非常低，因此光纤可用于长距离的信息传递</p>
<p>D：'光纤通信传输具有高宽带、信号衰减小、无电磁干扰、不易被窃听、成本低廉等特点</p>
<p>答案：B_A选项中高端的频带最大可达到10GHZ,C选项是由于光在光导纤维中传输损耗非常低，D选项是成本相对较高</p>
<p>第657题.以下哪些因素属于信息安全特征？<br>
A：'系统和网络的安全</p>
<p>B：'系统和动态的安全</p>
<p>C：'技术、管理、工程的安全</p>
<p>D：'系统的安全、动态的安全、无边界的安全、非传统的安全</p>
<p>答案：D_</p>
<p>第658题.随着时代的发展，有很多伟人都为通信事业的发展贡献出自己的力量，根据常识可知以下哪项是正确的（）<br>
A：'19世纪中期以后，随着电磁技术的发展，诞生了笔记本电脑，信息领域产生了根本性的飞跃，开始了为类通信新时代</p>
<p>B：'1837年，美国人费曼发明了电报机，可将信息转换成电脉冲传向目的地，再转换为原来的信息，从而实现了长途电报通信</p>
<p>C：'1875年，贝尔（Bell）发明了电话机，1878年在相距300公里的波士顿和纽约之间进行了首次长途电话实验，获得了成功</p>
<p>D：'1906年美国物理学家摩斯发明出无线电广播，法国人克拉维尔建立英法第一条商用无线电路推动了无线电技术的进一步发展</p>
<p>答案：C_A选项错误，随着电报、电话的发明，电磁波的发现，实现了利用金属导线来传递信息，甚至通过电磁波来进行无线通信，用电信号作为新的载体，带来了一系列技术革新，开始了人类通信的新时代；B选项错误，美国人塞缪尔.莫乐斯；选项D，物理学家费森登主持和组织了人类历史上第一次无线电广播，1933年法国人克拉维尔建立英法第一条商用无线电路推动了无线电技术的进一步发展</p>
<p>第659题.<br>
随着人们信息安全意识的不断增强，版权保护也受到越来越多的关注。在版权保护方面国内外使用较为广泛的是数字对象标识符DOI系统，它是由非盈利性组织国际DOI基金会IDF研究设计的，在数字环境下表示知识产权对象的一种开放性系统。DOI系统工作流程如图所示。则下面对于DOI系统认识正确的是（）<img alt="" src="./index_files/15820881914094.png" style="width: 350px; height: 160px;"></p>
<p>A：'DOI是一个临时性的编号，由internatianal DOI Foundatian管理</p>
<p>B：'DOI的优点有唯一性、持久性、兼容性、或操作性、动态更新</p>
<p>C：'DOI命名规则中前缀和后缀两部之间用“；”隔开</p>
<p>D：'DOI的体现形式只有网络域名和字符码两种形式</p>
<p>答案：B_</p>
<p>第660题.<br>
<img alt="" src="file:///Users/chenzhihan/Documents/Code/node/test/675">伪造的ARP应答报文，修改目标计算机上ARP缓存，形成一个错误的IP地址，如图所示，其属于欺骗攻击中的哪一种欺骗攻击过程（）<img alt="" src="./index_files/15820880677902.png" style="width: 300px; height: 200px;"></p>
<p>A：'ARP</p>
<p>B：'IP</p>
<p>C：'DNS</p>
<p>D：'SN</p>
<p>答案：A_</p>
<p>第661题.信息安全分割线评估方式包括（）<br>
A：'定量评估、定性评估、组合评估</p>
<p>B：'定量评估、定性评估、组合评估</p>
<p>C：'条件评估、完整评估、组合评估</p>
<p>D：'自评估、检查评估</p>
<p>答案：D_</p>
<p>第662题.信息安全风险管理是基于（）的信息安全管理，也就是说，始终以（）为主线进行信息安全的管理，应根据实际（）的不同来理解信息安全风险管理的侧重点，及（）选择的范围和对象重点应有所不同。<br>
A：'风险；风险；信息系统；风险管理</p>
<p>B：'风险；风险；风险管理；信息系统</p>
<p>C：'风险管理；信息系统；风险；风险</p>
<p>D：'风险管理；风险；风险；信息系统</p>
<p>答案：A_</p>
<p>第663题.下列哪项攻击会对《网络安全法》定义的网络运行安全造成影响？<br>
A：'DDoS攻击</p>
<p>B：'网页篡改</p>
<p>C：'个人信息泄露</p>
<p>D：'发布谣言信息</p>
<p>答案：A_</p>
<p>第664题.在你对远端计算机进行ping操作，不同操作系统回应的数据包中初始的TTL值是不同的，TTL是IP协议包中的一个值，他告诉网络，数据包在网络中的时间是否太长而应该被丢弃。（简而言之，你可以通过TTL值推算一下下列数据包已经通过了多少个路由器）根据回应的数据包中的TTL值，可以大致判断（）<br>
A：'内存容量</p>
<p>B：'操作系统的类型</p>
<p>C：'对方物理位置</p>
<p>D：'对方的MAC地址</p>
<p>答案：B_TCP/IP协议栈检测:不同操系统的IP协议栈实现之间存在细微的差别，通过这些差则，可以区分出目标操作系统的类型及版本，这种方法也称为TCP/IP协议栈指纹识别法。例如，对远端计算机进行ping操作，不同操作系统同应的数据包中初始TTL值是不同的，根据回应数据包中的TTL值，可以大致判断操作系统的类型。默认情况下，Linux系统的TTL值为64或255，WindowsNT/2000/XP系统的TTL值为128，Windows98系统的TTL值为32，UNIX主机的TTL值为255。</p>
<p>第665题.某公司为加强员工的信息安全意识，对公司员工进行相关培训，在介绍相关第三方人员通过社会工程学入侵公司信息系统是，提到一下几点要求，其中在日常工作中错误的是（）<br>
A：'不轻易泄露敏感信息</p>
<p>B：'再相信任何人之前先校验其真实身份</p>
<p>C：'不违背公司的安全策略</p>
<p>D：'积极配合来自电话、有点的任何业务要求，即使是马上提供本人的口令信息</p>
<p>答案：D_</p>
<p>第666题.下列选项中，对风险评估文档的描述中正确的是（）<br>
A：'评估结果文档包括描述资产识别和赋值的结果，形成重要资产列表</p>
<p>B：'描述评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择的安全措施的有效性的《风险评估程序》</p>
<p>C：'在文档分发过程中作废文档可以不用添加标识进行保留</p>
<p>D：'对于风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制</p>
<p>答案：D_A选项应该是评估过程文档B选项《风险处理计划》C选项适当添加标识进行保留。</p>
<p>第667题.供电安全是所有电子设备都需要考虑的问题，只有持续平稳的电力供应，才能保证电子设备工作稳定可靠。因此电力供应需要解决的问题包括两个，一是确保电力供应不中断，二是确保电力供应平稳。下列选项中，对电力供应的保障措施的描述正确的是（）<br>
A：'可以采取双路供电来确保电力供应稳定性</p>
<p>B：'UPS可提供持续、平稳的电力供应，不会受到电涌的影响</p>
<p>C：'可以部署电涌保护器来确保电力供应的稳定性</p>
<p>D：'发动机供电是电力防护最主要的技术措施</p>
<p>答案：D_</p>
<p>第668题.漏洞扫描是信息系统风险评估中的常用技术措施，定期的漏洞扫描有助于组织机构发现系统中存在的安全漏洞。漏洞扫描软件是实施漏洞扫描的工具，用于测试网络、操作系统、数据库及应用软件是否存在漏洞。某公司安全管理组成员小李对漏洞扫描技术和工具进行学习后有如下理解，其中错误的是（）<br>
A：'主动扫描工作方式类似于IDS（instrusion detection systems）</p>
<p>B：'CVE（Common Vulnerabilities &amp; Exposures）为每个漏洞确定了唯一的名称和标准化的描述</p>
<p>C：'X.Scanner采用多线程方式对指定的IP地址进行安全漏洞扫描</p>
<p>D：'ISS的Systerm Scanner通过依附于主机上的扫描器代理侦测主机内部漏洞</p>
<p>答案：A_</p>
<p>第669题.组织应开发和实施使用（）来保护信息的策略，基于风险评估，并考虑需要的加密算法类型、强度和质量。当实施组织的（）时，宜考虑我国应用密码技术的规定和限制，以及（）跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求，（）包括密钥的生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外，秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备宜进行（）<br>
A：'加密控制措施；加密信息；密码策略；密钥策略；物理保护</p>
<p>B：'加密控制措施；密码策略；密钥策略；加密信息；物理保护</p>
<p>C：'加密控制措施；密码策略；加密信息；密钥管理；物理保护</p>
<p>D：'加密控制措施；物理保护；密码策略；加密信息；密钥管理</p>
<p>答案：C_</p>
<p>第670题.安全审计是事后认定违反安全规则行为的分析技术，在检测违反安全规则方面、精准发现系统发生的事件发生的事分析方面，都发挥着巨大的作用，但安全审计也有无法实现的功能，以下哪个需求是网络安全审计无法实现的功能（）<br>
A：'发现系统中存储的漏洞和缺陷</p>
<p>B：'发现用户的非法操作行为</p>
<p>C：'发现系统中存在后门及恶意代码</p>
<p>D：'发现系统中感染的恶意代码类型及名称</p>
<p>答案：D_</p>
<p>第671题.<br>
数位物件识别号（Digital Object Identifier，简称DOI）是一套是被数位资源的机制，涵括对象有视频、告诫书籍等等，他既有一套为资源命名的机制，也有一套将识别号解析为具体位置的协定。DOI码由前缀和后缀两部分组成，之间用“/”分开，并且前缀以“-”再分为两部分。以下是一个典型DOI识别号10.1006/jmbi.1998.2354 ，下列选项错误的是（）</p>
<p>A：'“10.1006”是前缀，由国际数位物件识别号基金会确定</p>
<p>B：'“10”是DOI目前唯一的特定代码，用以将DOL与其他采用同样技术的系统区分开</p>
<p>C：'“1006”是注册代理机构的代码，或出版社代码，用于区分不同的注册机构</p>
<p>D：'后缀部分为jmbi.1998.2354，由资源发行者自行制定，用于区分一个单独的数字资料，不具有唯一性</p>
<p>答案：D_&lt;imgalt=""src="<a href="http://exam.jishiba.cn///files/attach/files/content/20200219/15820929384320.png%22style=%22width:350px;height:141px;">http://exam.jishiba.cn///files/attach/files/content/20200219/15820929384320.png"style="width:350px;height:141px;</a>"&gt;</p>
<p>第672题.某网盘查被发现泄露了大量的私人信息，通过第三方网盘搜索引擎可查询到该网盘用户的大量照片，通讯录，该网盘建议用户使用加密分享功能，避免信息泄露，“加密分享”可以采用以下哪些算法（）<br>
A：'MDS算法，SHA-1算法</p>
<p>B：'DSA算法，RSA算法</p>
<p>C：'SHA-1算法，SM2算法</p>
<p>D：'RSA算法，SM2算法</p>
<p>答案：D_DSA算法是美国的国家标准数字签名算法，它只能用户数字签名，而不能用户数据加密和密钥交换。SM2是我国的加密算法</p>
<p>第673题.作为单位新上任的CSO，你组织了一次本单位的安全评估工作以了解单位安全现状。在漏洞扫描报告中，你发现了某部署在内网且仅对内部服务的业务系统存在一个漏洞，对比上一年度的漏洞扫描报告，发现这个漏洞之前已经被报告出来,经询问安全管理员得知,这个业务系统开发商已经倒闭，因此无法修复，对于这个问题，你应该如何处理()<br>
A：'向公司管理层提出此问题，要求立刻立项重新开发此业务系统，避免单位中存在这样的安全风险</p>
<p>B：'.既然此问题不是新发现的问题，之前已经存在,因此与自己无关，可以不理会</p>
<p>C：'让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理</p>
<p>D：'让安全管理人员找出验收材料看看有没有系统源代码，自己修改解决这个漏洞</p>
<p>答案：C_</p>
<p>第674题.风险评估的过程包括 ( ) ( ) ( )和( )四个阶段，在信息安全风险管理过程中，风险评估活动接受背景建议阶段的输出，形成本阶段的最终输出《风险评估报告》，此文档为风险处理活动提供输入。( )和( )贯彻风险评估四个阶段<br>
A：'风险评估准备;风险要素识别;风险分析;监控审查;风险结果判定:沟通咨询</p>
<p>B：'风险评估准备;风险要系识别:监控审查:风险分析:风险结果判定;沟通咨询</p>
<p>C：'风险评估准备:监控审查;风险要素识别;风险分析:风险结果判定;沟通咨询</p>
<p>D：'风险评估准备:风险要素识别;风险分析;风险结果判定;监控审查;沟通咨询</p>
<p>答案：D_</p>
<p>第675题.关于微软的SDL 原则，弃用不安全的函数属于哪个价格段？（）<br>
A：'规划</p>
<p>B：'设计</p>
<p>C：'实现</p>
<p>D：'测试</p>
<p>答案：C_</p>
<p>第676题.秀源代码审核工具有哪些特点（  ）<br>
（１）安全性（２）多平台性(３)可扩民性(４)知识性(５)集成性<br>
A：' 1 2 3 4 5</p>
<p>B：' 2 3 4</p>
<p>C：'1 2 3 4</p>
<p>D：'2 3</p>
<p>答案：A_一.可理解性、二.可靠性、三.可测试性、四.可修改性、五.可移植性、六.效率、七.可使用性。</p>
<p>第677题.某公司在讨论如何确认已有的安全措施，对于确认已有这全措施，下列选项中近期内述不正确的是（）<br>
A：'对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施</p>
<p>B：'安全措施主要有预防性、检测性和纠正性三种</p>
<p>C：'安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁</p>
<p>D：'对确认为不适当的安全措施可以置不顾</p>
<p>答案：D_置不顾是错误的。</p>
<p>第678题.密码是一种用来混淆的技术，使用者希望正常的（可识别的）信息转变为无法识别的信息。但这种无法识别信息部分是可以再加工并恢复和破解的，小刚是某公司新进的工，公司要求他注册一个公司网站的账号，小刚使用一个安全一点的密码，请问以下选项中哪个密码是最安全（  ）<br>
A：'使用和与用户名相同的口令</p>
<p>B：'选择可以在任何字典或语言中找到的口令</p>
<p>C：'选择任何和个人信息有关的口令</p>
<p>D：'采取数字，字母和特殊符号混合并且易于记忆</p>
<p>答案：D_</p>
<p>第679题.在软件项目开发过程中，评估软件项目风险时，（）与风险无关。<br>
A：'高级管理人员是否正式承诺支持该项目</p>
<p>B：'开发人员和用户是否充分理解系统的需求</p>
<p>C：'最终用户是否同意部署已开发的系统</p>
<p>D：'开发需求的资金是否能按时到</p>
<p>答案：C_</p>
<p>第680题.与浏览器兼容性测试不需要考虑的问题是（）<br>
A：'软件是否可以在不同的J2EE 中运行</p>
<p>B：'不同的浏览器是否可以提供合适的安全设置</p>
<p>C：'脚本和插是否适用于不同的浏览器</p>
<p>D：'符合最新HTML 版本的页面能否在浏览器中正确显示</p>
<p>答案：A_</p>
<p>第681题.下列关于测试方法的叙述中不正确的是（）<br>
A：'从某种角度上讲，白盒测试与墨盒测试都属于动态测试</p>
<p>B：'功能测试属于黑盒测试</p>
<p>C：'结构测试属于白盒测试</p>
<p>D：'对功能的测试通常是要考虑程序的内部结构的</p>
<p>答案：D_白盒测试是在程序员十分了解程序的前提下，对程序的逻辑结构进行的测试。而黑盒测试则将程序视为一个黑盒子，仅仅是测试人员提供输入数据，观察输出数据，并不了解程序是如何运行的，结构测试属于白盒测试，关注的是如何选择合适的程序或子程序路径来执行有效的检查。功能测试则属于黑盒测试，对功能的测试通常通过提供输入数据，检查实际输出的结果，很少考虑程序的内部结构。</p>
<p>第682题.以下哪一项不属于Web 应用软件表示层测试关注的范畴（）<br>
A：'排版结构的测试</p>
<p>B：'数据完整性测试</p>
<p>C：'客户端兼容性的测试</p>
<p>D：'链接结构的测试</p>
<p>答案：B_Web应用软件表示层的测试主要集中在客户端，测试的内容包括：(1)排版结构的测试；(2)链接结构的测试；(3)客户端程序的测试；(4)浏览器兼容性测试。</p>
<p>第683题.以下哪些不是《国家网络空间安全战略》中阐述的我国网络空间当前任务？<br>
A：'捍卫网络空间主权</p>
<p>B：'保护关键信息基础设施</p>
<p>C：'提升网络空间防护能力</p>
<p>D：'阻断与国外网络连接</p>
<p>答案：D_</p>
<p>第684题.在信息安全保障工作中人才是非常重要的因素，近年来，我国一直调试重视我国信自成安全人才队伍培养建设。在以下关于我国关于人才培养工作的描述中，错误的是（）<br>
A：' 在《中胃信息化领导小组关于加强信息安全保障工作的中意见》（中办发[2003]27 号）中，针对信息安全人才建设与培养工作提出了“加快网络空间安全人才培养增强全民信息安全意识”的指导精神</p>
<p>B：'2015 年，为加快网络安全高层次人才培养，经报国务院学位委员会批准，国务院学位委员会、教育部决定“工学”门类下增设“网络空间安全“一级学科，这对于我国网络信息安全人才成体系化、规模化、系统培养到积极的推到作用</p>
<p>C：'经过十余年的发展，我国信息安全人才培养已经成熟和体系化，每年培养的信息全从人员的数量较多，能同社会实际需求相匹配；同时，高效信息安全专业毕业人才的合能力要求高、知识更全面，因面社会化培养重点放在非安全专业人才培养上</p>
<p>D：'除正规大学教育外，我国信息安全非学历教育已基本形成了以各种认证为核心，辅以各种职业技能培训的信息安全人才培训休系，包括“注册信息安全专业人员(CISP)”资质认证和一些大型企业的信息安全资质认证</p>
<p>答案：C_</p>
<p>第685题.下列关于软件需求管理与需求开发的论述正确的是（）<br>
A：'所谓需求管理，是指对需求开发的管理</p>
<p>B：'需求管理包括：需求获取、需求分析、需求定义各需求验证</p>
<p>C：'需求开发是将用户需求转换为应用系统成果的过程</p>
<p>D：'在需求管理中要求维持对原有需求和所有的产品需求的双向跟踪</p>
<p>答案：D_所有与需求直接相关的活动通称为需求工程。需求工程的活动可分为需求开发和需求管理两大类。其中，需求开发的目的是通过调查与分析，获取用户需求并定义产品需求。需求开发主要有需求获取、需求分析、需求定义和需求验证等4个过程。需求管理的目的是确保各方对需求的一致理解、管理和控制需求的变更，从需求到最终产品的双向跟踪。在需求管理中，要收集需求的变更和变更的理由，并且维持对原有需求和产品及构件需求的双向跟踪。</p>
<p>第686题.信息安全是通过实施一组合适的（）而达到的，包括策略、过程、规程、（）以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进包含这些控制措施的（）过程，以确保满足该组织的特定安全和（）。这个过程宜与其他业务（）联合进行。<br>
A：'信息安全管理；控制措施；组织结构；业务目标；管理过程</p>
<p>B：'组织结构；控制措施；信息安全管理；业务目标；管理过程V</p>
<p>C：'控制措施；组织结构；信息安全管理；业务目标；管理过程</p>
<p>D：'控制措施；组织结构；业务目标；信息安全管理；管理过程</p>
<p>答案：C_教材文章中的一段：“信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。”</p>
<p>第687题.了解社会工程学攻击是应对和防御（）的关键，对于信息系统的管理人员和用户，都应该了解社会学的攻击的概念和攻击的（）。组织机构可采取对相关人员实施社会工程学培训来帮助员工了解什么是社会工程学攻击，如何判断是否存在社会工程学攻击，这样才能更好的保护信息系统和（）。因为如果对攻击方式有所了解那么用户识破攻击者的伪装就（）。因此组织机构应持续不断的向员工提供安全意识的培训和教育，向员工灌输（），人机降低社会工程学攻击的风险。<br>
A：'社会工程学攻击；越容易；原理；个人数据；安全意识</p>
<p>B：'社会工程学攻击；原理；越容易；个人数据；安全意识</p>
<p>C：'原理；社会工程学攻击；个人数据；越容易；安全意识</p>
<p>D：'社会工程学攻击；原理；个人数据；越容易；安全意识</p>
<p>答案：D_</p>
<p>第688题.<br>
SQL Server 支持两种身份验证模式，即Windows身份验证模式和混合模式。SQL Server 的混全模式是指：当网络用户尝试接到SQL Server 数据库时，（）<img alt="" src="./index_files/15820929754609.png" style="width: 372px; height: 112px;"></p>
<p>A：'Windows 获取用户输入的用户和密码，并提交给SQL Serve 进行身份验证，并决定用户的数据库访权限</p>
<p>B：'SQL Serve 根据用户输入的用户和密码，并提交给Windows 进行身份验证，并决定用户的数据库访权限</p>
<p>C：'SQL Serve 根据已在Windows 网络中登录的用户的网络安全属性，对用户进行身份验证，并决定用户的数据库访权限</p>
<p>D：'登录到本地Windows 的用户均可无限制访问SQL Serve 数据库</p>
<p>答案：C_</p>
<p>第689题.物联网将我们带入一个复杂多元、综合交互的新信息时代，物联网安全成为关系国计民生的大事，直接影响到个人生活的社会稳定。物联网安全问题必须引起高度重视，并从技术、标准和法律方面予以保障。物联网的感知由安全技术主要包括（）、（）等实现RFID 安全性机制所采用的方法主要有三类：（）、（）和（）。传感器网络认证技术主要包含（）、（）和（）<br>
A：'RFID 安全技术； 传感器网络安全技术；内部实体认证、网络与用户认证，以及广播认证；物理机制，密码机制，以及二者相结合的方法</p>
<p>B：'RFID 安全技术； 传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证</p>
<p>C：'RFID 安全技术；传感器网络安全技术；物理机制、密码机制，以及二者相结合的方法； 内部实体认证、网络与用户认证，以及广播认证</p>
<p>D：'RFID 技术； 传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证</p>
<p>答案：D_</p>
<p>第690题.怎样安全上网不中毒，现在是网络时代了，上网是每个人都会做的事，但网络病毒一直是比较头疼的，电脑中毒也比较麻烦。某员工为了防止在上网时中毒使用了影子系统，他认为恶代码会通过以下方式传播，但有一项是安全的，请问是（）<br>
A：'网页挂马</p>
<p>B：'利用即时通讯的关系链或伪装P2P 下载资源等方式传播到目标系统中</p>
<p>C：'Google 认证过的插件</p>
<p>D：'垃圾邮件</p>
<p>答案：C_</p>
<p>第691题.管理，是指（）组织并利用其各个要素（人、财、物、信息和时空），借助（），完成该组织目标的过程。其中，（）就像其他重要业务资产各（）一样，也对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁各（）当中。<br>
A：'管理手段；管理主体；信息；管理要素；脆弱性</p>
<p>B：'管理主体；管理手段；信息；管理要素；脆弱性</p>
<p>C：'管理主体；信息；管理手段；管理要素；脆弱性</p>
<p>D：'管理主体；管理要素；管理手段；信息；脆弱性</p>
<p>答案：B_</p>
<p>第692题.<br>
如下图所示，两份文件包含了不同的内容，却拥有相同的SHA- 1 数字签名a,这违背了安全的哈希函数（）性质。<img alt="" src="./index_files/15820898419448.png" style="width: 413px; height: 115px;"></p>
<p>A：'单向性</p>
<p>B：'弱抗碰撞性</p>
<p>C：'强抗碰撞性</p>
<p>D：'机密性</p>
<p>答案：C_该题目是违背了强抗碰撞性，答案应为C。</p>
<p>第693题.下列选项中，对物理与环境安全的近期内述出现错误的是（）<br>
A：'物理安全确保了系统在对信息进行采集、传输、处理等过程中的安全</p>
<p>B：'物理安全面对是环境风险及不可预知的人类活动，是一个非常关键的领域</p>
<p>C：'物理安全包括环境安全、系统安全、设施安全等</p>
<p>D：'影响物理安全的因素不仅包含自然因素，还包含人为因素</p>
<p>答案：A_</p>
<p>第694题.信息收集是（）攻击实施的基础，因此攻击者在实施前会对目标进行（），了解目标所有相关的（）。这些资料和信息对很多组织机构来说都是公开或看无用的，然而对攻击者来说，这些信息都是非常有价值的，这些信息收集得越多，离他们成功得实现（）就越近。如果为信息没有价值或价值的非常低，组织机构通常不会采取措施（），这正是社会工程学攻击者所希望的。<br>
A：'信息收集；社会工程学；资料和信息；身份伪装；进行保护</p>
<p>B：'社会工程学；信息收集；资料和信息；身份伪装；进行保护</p>
<p>C：'社会工程学；信息收集；身份伪装；资料和信息；进行保护</p>
<p>D：'信息收集；资料和信息；社会工程学；身份伪装；进行保护</p>
<p>答案：B_</p>
<p>第695题.以下对单点登录技术描述不正确的是:()<br>
A：'单点登录技术实质是安全凭证在多个用户之间的传递或共享</p>
<p>B：'使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用</p>
<p>C：'单点登录不仅方便用户使用,而且也便于管理</p>
<p>D：'使用单点登录技术能简化应用系统的开发</p>
<p>答案：A_</p>
<p>第696题.近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个开放性信道,它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素,下列选项中,对无线通信技术的安全特点描述正确的是（）<br>
A：'无线信道是一个开放信道,任何具有适当无线设备的人均可以通过搭线窃听而获得网络通信内容</p>
<p>B：'通过传输流分析,攻击者可以掌握精确的通信内容</p>
<p>C：'对于无线局域网络和无线个人区域网络来说,它们的通信内容更容易被窃听</p>
<p>D：'群通信方式可以防止网络外部人员获取网络内部通信内容</p>
<p>答案：C_</p>
<p>第697题.软件的可维护性可用七个质量特性来衡量,分别是:可理解性、可测试性、可修改性、可靠性、可移植性、可使用性和效率对于不同类型的维护,这些侧重点也是不同的,在可维护性的特性中相互促进的是（ ）<br>
A：'可理解性和可测试性</p>
<p>B：'效率和可移植性</p>
<p>C：'效率和可修改性</p>
<p>D：'效率和可理解性</p>
<p>答案：A_</p>
<p>第698题.“规划(Plan)-实施(Do)-检查( Check)-处置(Act)”(PDCA 过程)又叫( ),是管理学中的一个通用模型,最早由( )于1930 年构想,后来被美国质量管理专家( )博士在1950 年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。PDCA 循环就是按照“规划、实施、检查、处置”的顺序进行质量管理,并且循环不止地进行下去的( ),建立符合国际标准ISO 9001 的质量管理体系即是一个典型的PDCA 过程,建立IS0 14001 环境管理体系、IS0 20000I服务( )也是一个类似的过程。<br>
A：'质量环; 休哈特;戴明; 管理体系; 科学程序</p>
<p>B：'质量环; 戴明; 休哈特; 管理体系; 科学程序</p>
<p>C：'质量环: 戴明; 休哈特; 科学程序; 管理体系</p>
<p>D：'质量环; 休哈特;戴明; 科学程序; 管理体系</p>
<p>答案：D_源于质量管理体系。</p>
<p>第699题.ZigBee 主要的信息安全服务为( )、( )、( )、( )。访问控制使设备能够选择其愿意与之通信的其他设备。为了实现访问控制,设备必须在ACL 中维护一个( ),表明它愿意接受来自这些设备的数据。数据加密使用的密钥可能是一组设备共享,或者两两共享。数据加密服务于Beacon、command 以及数据载荷。数据()主要是利用消息完整性校验码保证没有密钥的节点不会修改传输中的消息,进一步确认消息来自一个知道( )的节点<br>
A：'访问控制、数据加密、数据完整性、序列抗重播保护;设备列表;完整性:密钥</p>
<p>B：'访问控制、加密、完整性、序列抗重播保护;设备列表;完整性;密钥</p>
<p>C：'访问控制、加密、数据完整性、序列抗重播保护;列表;完整性;密钥</p>
<p>D：'访问控制、数据加密、数据完整性、序列抗重播;列表;完整性;密钥</p>
<p>答案：A_源于无线通信安全技术，豆丁网2014.10.18介绍。IEEE802.15.4规范是一种经济、高效、低数据速率(&lt;250kbps)、工作在2.4GHz和868/915MHz的无线技术。</p>
<p>第700题.在一个网络中,当拥有的网络地址容量不够多,或普通终端计算机没有必要分配静态IP 地址时,可以采用通过在计算机连接到网络时,每次为其临时在IP 地址池中选择一个IP 地址并分配的方式为( )<br>
A：'动态分配IP 地址</p>
<p>B：'静态分配IP 地址</p>
<p>C：'网络地址转换分配地址</p>
<p>D：'手动分配</p>
<p>答案：A_</p>
<p>第701题.以下对于标准化特点的描述哪项是错误的?</p>
<p>A：'标准化的对象是共同的、可重复的事物。不是孤立的一件事、一个事物</p>
<p>B：'标准化必须是静态的,相对科技的进步和社会的发展不能发现变化</p>
<p>C：'标准化的相对性,原有标准随着社会发展和环境变化,需要更新</p>
<p>D：'标准化的效益,通过应用体现经济和社会效益,否则就没必要</p>
<p>答案：B_</p>
<p>第702题.以下哪个是国际信息安全标准化组织的简称?</p>
<p>A：'ANSI</p>
<p>B：'ISO</p>
<p>C：' IEEE</p>
<p>D：'NIST</p>
<p>答案：B_</p>
<p>第703题.某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公司网络管理员在了解情况后,给出了一些解决措施建议，作为信息安全主管，你必须指出不恰当的操作并阻止此次操作（）<br>
A：'由于单位并无专业网络安全应急人员,网络管理员希望出具授权书委托某网络安全公司技术人员对本次攻击进行取证</p>
<p>B：'由于公司缺乏备用硬盘,因此计划将恢复服务器上被删除的日志文件进行本地恢复后再提取出来进行取证</p>
<p>C：'由于公司缺乏备用硬盘,因此网络管理员申请采购与服务器硬盘同一型号的硬盘用于存储恢复出来的数据</p>
<p>D：'由于公司并无专业网络安全应急人员,因此由网络管理员负责此次事件的应急协调相关工作</p>
<p>答案：B_</p>
<p>第704题.内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资源大爆发是使得内容安全越越受到重视,以下哪个描述不属于内容安全的范畴( )<br>
A：'某杂志在线网站建立内容正版化审核团队,对向网站投稿的内容进行版权审核,确保无侵犯版权行为后才能在网站好进行发布</p>
<p>B：'某网站采取了技术措施,限制对同一P 地址对网站的并发连接,避免爬虫通过大量的访问采集网站发布数据</p>
<p>C：'某论坛根据相关法律要求, 进行了大量的关键词过滤, 使用户无法发布包含被过滤关键词的相关内容</p>
<p>D：'某论坛根据国家相关法律要求,为了保证用户信息泄露,对所有用户信息,包括用户名、密码、身份证号等都进行了加密的存储</p>
<p>答案：D_</p>
<p>第705题.恶意软件抗分析技术的发展,恶意软件广泛使用了加壳、加密、混淆等抗分析技术，对恶意软件的分析难度越来越大。对恶意代码分析的研究已经成为信息安全领域的一个研究热点。小赵通过查阅发现一些安全软件的沙箱功能实际上是虚拟化技术的应用,是动态分析中广泛采用的一种技术。小赵列出了一些动态分析的知识,其中错误的是（ ）<br>
A：'动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点</p>
<p>B：'动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路径有限,分析的完整性难以保证</p>
<p>C：'动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制</p>
<p>D：'动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对恶意代码非法行为进行分析</p>
<p>答案：C_</p>
<p>第706题.<br>
即时通讯安全是移动互联网时代每个用户和组织机构都应该认真考虑的问题，特别对于使用即时通讯进行工作交流和协作的组织机构。安全使用即时通讯应考虑许多措施，下列措施中错误的是：</p>
<p>A.如果经费许可,可以使用自建服务器的即时通讯系统</p>
<p>B.在组织机构安全管理体系中制定相应安全要求,例如禁止在即时通讯中传输敏感及以上级别的文档;建立管理流程及时将离职员工移除等</p>
<p>C.选择在设计上已经为商业应用提供安全防护的即时通讯软件,例如提供传输安全性保护等即时通讯</p>
<p>D.涉及重要操作包括转账无需方式确认</p>
<p>答案：D_</p>
<p>第707题.<br>
美国的关键信息基础设施（Critical Information Infrastructure,CII）包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：</p>
<p>A、这些行业都关系到国计民生，对经济运行和国家安全影响深远</p>
<p>B、这些行业都是信息化应用广泛的领域</p>
<p>C、这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出</p>
<p>D、这些行业发生信息安全事件，会造成广泛而严重的损失</p>
<p>答案：C_</p>
<p>第708题.</p>
<p>依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：</p>
<p>A、信息系统安全保障目的</p>
<p>B、环境安全保障目的</p>
<p>C、信息系统安全保障目的和环境安全保障目的</p>
<p>D、信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的</p>
<p>答案：D_</p>
<p>GB/T20274<br>
信息系统保障评估框架从管理、技术、工程和总体方面进行评估。</p>
<p>第709题.</p>
<p>以下哪一项是数据完整性得到保护的例子?</p>
<p>A、某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作</p>
<p>B、在提款过程中ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作</p>
<p>C、某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作</p>
<p>D、李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看</p>
<p>答案：B_</p>
<p>A<br>
为可用性，B为完整性，C是抗抵赖，D是保密性。冲正是完整性纠正措施。</p>
<p>第710题.</p>
<p>公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：</p>
<p>A、乙对信息安全不重视，低估了黑客能力，不舍得花钱</p>
<p>B、甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费</p>
<p>C、甲未充分考虑网游网站的业务与政府网站业务的区别</p>
<p>D、乙要综合考虑业务、合规性和风险，与甲共同确定网站安全需求</p>
<p>答案：A_</p>
<p>第711题.</p>
<p>进入 21 世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史、国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：</p>
<p>A、与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点</p>
<p>B、美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担</p>
<p>C、各国普遍重视信息安全事件的应急响应和处理p24</p>
<p>D、在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系</p>
<p>答案：B_<br>
美国已经设立中央政府级的专门机构。</p>
<p>第712题.</p>
<p>与 PDR 模型相比，P2DR 模型多了哪一个环节?</p>
<p>A、防护</p>
<p>B、检测</p>
<p>C、反应</p>
<p>D、策略</p>
<p>答案：D_PPDR是指策略、保护、检测和反应（或响应）。PPDR比PDR多策略。</p>
<p>第713题.</p>
<p>某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE 是微软 SDL 中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing 是 STRIDE 中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?</p>
<p>A、网站竞争对手可能雇佣攻击者实施 DDoS 攻击，降低网站访问速度</p>
<p>B、网站使用 http 协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等</p>
<p>C、网站使用 http 协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改</p>
<p>D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息</p>
<p>答案：D_<br>
A属于可用性；B保密性；C属于完整性。</p>

      </div>
      
      
    
    
    
    
    
    
    
    
  
    </body></html>